Amazon Virtual Private Cloud - AWS Documentation : Périphérique Fortinet Fortigate ... 200 Tunnel ... Amazon Virtual Private Cloud Network Administrator Guide

Amazon Virtual Private CloudNetwork Administrator Guide

Amazon Virtual Private Cloud Network Administrator Guide

Amazon Virtual Private Cloud: Network Administrator GuideCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.


Table of ContentsBienvenue ......................................................................................................................................... 1Votre passerelle client ......................................................................................................................... 2

Qu'est-ce qu'une passerelle client ? ............................................................................................... 2Votre rôle .......................................................................................................................... 4

Présentation de la configuration d'une connexion VPN ..................................................................... 4Informations réseau ............................................................................................................ 4

AWS VPN CloudHub et passerelles client redondantes .................................................................... 5Configuration de plusieurs connexions VPN dans votre VPC ............................................................. 6Passerelles client que nous avons testées ..................................................................................... 7Conditions requises pour votre passerelle client .............................................................................. 8Configuration d'un pare-feu entre Internet et votre passerelle client ................................................... 11

Exemple : Périphérique Check Point avec BGP ..................................................................................... 13Vue globale de la passerelle client .............................................................................................. 13Fichier de configuration .............................................................................................................. 14Configuration du périphérique Check Point ................................................................................... 14

Étape 1 : Configurer les interfaces de tunnel ......................................................................... 15Étape 2 : Configurer BGP ................................................................................................... 16Étape 3 : Créer des objets réseau ....................................................................................... 16Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec ............................................ 17Étape 5 : Configurer le pare-feu .......................................................................................... 19Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS .................................. 20

Comment tester la configuration de la passerelle client ................................................................... 21Exemple : périphérique Check Point (sans BGP) ................................................................................... 24

Vue globale de la passerelle client .............................................................................................. 24Fichier de configuration .............................................................................................................. 25Configuration du périphérique Check Point ................................................................................... 26

Étape 1 : Configurer l'interface du tunnel .............................................................................. 26Étape 2 : Configurer l'itinéraire statique ................................................................................ 28Étape 3 : Créer des objets réseau ....................................................................................... 29Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec ............................................ 30Étape 5 : Configurer le pare-feu .......................................................................................... 32Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS .................................. 33

Comment tester la configuration de la passerelle client ................................................................... 34Exemple : périphérique Cisco ASA (Adaptive Security Appliance, dispositif de sécurité adaptatif) ................... 37

Une vue globale de la passerelle client ........................................................................................ 37Une exemple de configuration .................................................................................................... 38Comment tester la configuration de la passerelle client ................................................................... 42

Exemple : Appareil Cisco ASA avec VTI et BGP .................................................................................... 44Une vue globale de la passerelle client ........................................................................................ 44Exemple de configuration ........................................................................................................... 45Comment tester la configuration de la passerelle client ................................................................... 50

Exemple : Appareil Cisco ASA avec VTI (sans BGP) .............................................................................. 53Une vue globale de la passerelle client ........................................................................................ 53Exemple de configuration ........................................................................................................... 54Comment tester la configuration de la passerelle client ................................................................... 59

Exemple : périphérique Cisco IOS (Adaptive Security Appliance, dispositif de sécurité adaptatif) .................... 62Une vue globale de la passerelle client ........................................................................................ 63Une vue détaillée de la passerelle client et un exemple de configuration ............................................ 64Comment tester la configuration de la passerelle client ................................................................... 71

Exemple : périphérique Cisco IOS (sans BGP) ...................................................................................... 73Une vue globale de la passerelle client ........................................................................................ 73Une vue détaillée de la passerelle client et un exemple de configuration ............................................ 74Comment tester la configuration de la passerelle client ................................................................... 80

Exemple : dispositif SonicWALL DELL ................................................................................................. 82

iii


Une vue globale de la passerelle client ........................................................................................ 82Exemple de fichier de configuration ............................................................................................. 83Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion ............................................. 86Comment tester la configuration de la passerelle client ................................................................... 87

Exemple : appareil Dell SonicWALL (sans BGP) .................................................................................... 89Une vue globale de la passerelle client ........................................................................................ 89Exemple de fichier de configuration ............................................................................................. 90Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion ............................................. 93Comment tester la configuration de la passerelle client ................................................................... 95

Exemple : Périphérique Fortinet Fortigate ............................................................................................. 97Une vue globale de la passerelle client ........................................................................................ 98Une vue détaillée de la passerelle client et un exemple de configuration ............................................ 98Comment tester la configuration de la passerelle client ................................................................. 106

Exemple : dispositif J-Series JunOS ................................................................................................... 108Une vue globale de la passerelle client ...................................................................................... 109Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 110Comment tester la configuration de la passerelle client ................................................................. 116

Exemple : dispositif JunOS SRX Juniper ............................................................................................. 119Une vue globale de la passerelle client ...................................................................................... 120Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 121Comment tester la configuration de la passerelle client ................................................................. 127

Exemple : dispositif Juniper ScreenOS ............................................................................................... 130Une vue globale de la passerelle client ...................................................................................... 131Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 132Comment tester la configuration de la passerelle client ................................................................. 137

Exemple : appareil Netgate PfSense (sans BGP) ................................................................................. 140Une vue globale de la passerelle client ...................................................................................... 140Exemple de configuration ......................................................................................................... 141Comment tester la configuration de la passerelle client ................................................................. 144

Exemple : périphérique réseau Palo Alto ............................................................................................ 146Une vue globale de la passerelle client ...................................................................................... 147Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 147Comment tester la configuration de la passerelle client ................................................................. 154

Exemple : périphérique Yamaha ........................................................................................................ 156Une vue globale de la passerelle client ...................................................................................... 157Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 157Comment tester la configuration de la passerelle client ................................................................. 163

Exemple : passerelle client générique utilisant un BGP ......................................................................... 165Une vue globale de la passerelle client ...................................................................................... 166Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 166Comment tester la configuration de la passerelle client ................................................................. 171

Exemple : Passerelle client générique (sans BGP) ............................................................................... 173Une vue globale de la passerelle client ...................................................................................... 174Une vue détaillée de la passerelle client et un exemple de configuration .......................................... 174Comment tester la configuration de la passerelle client ................................................................. 179

Dépannage ..................................................................................................................................... 181Connectivité de la passerelle client Cisco ASA ............................................................................ 181

IKE ............................................................................................................................... 181IPsec ............................................................................................................................. 182Routage ......................................................................................................................... 183

Connectivité de la passerelle client Cisco IOS ............................................................................. 184IKE ............................................................................................................................... 184IPsec ............................................................................................................................. 185Tunnel ........................................................................................................................... 187BGP .............................................................................................................................. 187Attachement de la passerelle réseau privé virtuel ................................................................. 188

Connectivité de la passerelle client Cisco IOS (sans BGP) ............................................................ 189

iv


IKE ............................................................................................................................... 189IPsec ............................................................................................................................. 189Tunnel ........................................................................................................................... 191Attachement de la passerelle réseau privé virtuel ................................................................. 193

Connectivité de la passerelle client Juniper JunOS ....................................................................... 193IKE ............................................................................................................................... 193IPsec ............................................................................................................................. 194Tunnel ........................................................................................................................... 194BGP .............................................................................................................................. 195Attachement de la passerelle réseau privé virtuel ................................................................. 196

Connectivité de la passerelle client Juniper ScreenOS .................................................................. 196IKE et IPsec ................................................................................................................... 196Tunnel ........................................................................................................................... 197BGP .............................................................................................................................. 198Attachement de la passerelle réseau privé virtuel ................................................................. 199

Connectivité de la passerelle client Yamaha ................................................................................ 199IKE ............................................................................................................................... 199IPsec ............................................................................................................................. 200Tunnel ........................................................................................................................... 201BGP .............................................................................................................................. 201Attachement de la passerelle réseau privé virtuel ................................................................. 202

Connectivité de la passerelle client sur un périphérique générique .................................................. 202Connectivité de la passerelle client sur un périphérique générique (sans BGP) .................................. 205

Configuration de Windows Server 2008 R2 en tant que passerelle client .................................................. 209Configuration de votre serveur Windows ..................................................................................... 209Étape 1: Création d'une connexion VPN et configuration de votre VPC ........................................... 210Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN .................................... 211Étape 3 : Configuration du serveur Windows ............................................................................... 213Étape 4 : Configuration du tunnel VPN ....................................................................................... 215

Option 1 : Exécuter le script netsh ..................................................................................... 215Option 2 : Utiliser l'interface utilisateur de Windows Server ..................................................... 215

Étape 5 : Activation de la détection de passerelle inactive .............................................................. 221Étape 6 : Test de la connexion VPN .......................................................................................... 222

Configuration de Windows Server 2012 R2 en tant que passerelle client .................................................. 224Configuration de votre serveur Windows ..................................................................................... 224Étape 1: Création d'une connexion VPN et configuration de votre VPC ........................................... 225Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN .................................... 226Étape 3 : Configuration du serveur Windows ............................................................................... 228Étape 4 : Configuration du tunnel VPN ....................................................................................... 229

Option 1 : Exécuter le script netsh ..................................................................................... 229Option 2 : Utiliser l'interface utilisateur de Windows Server ..................................................... 2292.4 : Configuration du pare-feu Windows ............................................................................. 233

Étape 5 : Activation de la détection de passerelle inactive .............................................................. 234Étape 6 : Test de la connexion VPN .......................................................................................... 235

Historique du document ................................................................................................................... 237

v


BienvenueBienvenue dans le Amazon VPC Network Administrator Guide. Ce guide est destiné aux clients quienvisagent d'utiliser une connexion VPN IPsec gérée par AWS avec leur Virtual Private Cloud (VPC). Lesrubriques dans ce guide vous aident à configurer votre passerelle client, qui est le périphérique de votrecôté de la connexion VPN.

La connexion VPN vous laisse créer une passerelle entre votre VPC et l'infrastructure informatique, etétendre vos stratégies de sécurité et de gestion existantes aux instances EC2 dans votre VPC comme sielles étaient en cours d'exécution dans votre propre infrastructure.

Pour plus d'informations, consultez les rubriques suivantes :

• Votre passerelle client (p. 2)• Exemple : Périphérique Check Point avec protocole de passerelle frontière (BGP) (p. 13)• Exemple : périphérique Check Point sans protocole de passerelle frontière (BGP) (p. 24)• Exemple : périphérique Cisco ASA (Adaptive Security Appliance, dispositif de sécurité

adaptatif) (p. 37)• Exemple : périphérique Cisco IOS (Adaptive Security Appliance, dispositif de sécurité

adaptatif) (p. 62)• Exemple : périphérique Cisco IOS (Internetwork Operating System, système d'exploitation pour la

connexion des réseaux) sans Border Gateway Protocol (p. 73)• Exemple : Appareil Cisco ASA avec une interface de tunnel virtuelle et le protocole Border Gateway

Protocol (p. 44)• Exemple : Appareil Cisco ASA avec une interface de tunnel virtuelle (sans protocole Border Gateway

Protocol) (p. 53)• Exemple : appareil SonicOS Dell SonicWALL sans Border Gateway Protocol (BGP) (p. 89)• Exemple : dispositif SonicWALL DELL (p. 82)• Exemple : dispositif J-Series JunOS (p. 108)• Exemple : dispositif JunOS SRX Juniper (p. 119)• Exemple : dispositif Juniper ScreenOS (p. 130)• Exemple : appareil Netgate PfSense sans protocole de passerelle frontière (BGP) (p. 140)• Exemple : périphérique réseau Palo Alto (p. 146)• Exemple : périphérique Yamaha (p. 156)• Exemple : passerelle client générique utilisant un BGP (Border Gateway Protocol) (p. 165)• Exemple : passerelle client générique sans BGP (Border Gateway Protocol) (p. 173)• Configuration de Windows Server 2008 R2 en tant que passerelle client (p. 209)• Configuration de Windows Server 2012 R2 en tant que passerelle client (p. 224)

1

Amazon Virtual Private Cloud Network Administrator GuideQu'est-ce qu'une passerelle client ?

Votre passerelle clientRubriques

• Qu'est-ce qu'une passerelle client ? (p. 2)• Présentation de la configuration d'une connexion VPN (p. 4)• AWS VPN CloudHub et passerelles client redondantes (p. 5)• Configuration de plusieurs connexions VPN dans votre VPC (p. 6)• Passerelles client que nous avons testées (p. 7)• Conditions requises pour votre passerelle client (p. 8)• Configuration d'un pare-feu entre Internet et votre passerelle client (p. 11)

Qu'est-ce qu'une passerelle client ?Une connexion VPN Amazon VPC relie votre centre de données (ou votre réseau) à votre VPC AmazonVPC. Une passerelle client correspond à l'ancre située de votre côté de cette connexion. Il peut s'agir d'unéquipement physique ou logiciel. L'ancre située côté AWS de la connexion VPN est désignée par le termepasserelle réseau privé virtuel.

Le schéma suivant illustre votre réseau, la passerelle client, la connexion VPN à la passerelle réseau privévirtuel et le VPC. Les deux lignes entre la passerelle client et la passerelle réseau privé virtuel indiquentque la connexion VPN est composée de deux tunnels, ce qui fournit une plus grande disponibilité duservice Amazon VPC. En cas de dysfonctionnement d'un périphérique dans AWS, votre connexion VPNbascule automatiquement vers le deuxième tunnel pour éviter que votre accès ne soit interrompu. Detemps en temps, AWS effectue des opérations de maintenance habituelles sur la passerelle réseauprivé virtuel, ce qui peut désactiver brièvement l'un des deux tunnels de votre connexion VPN. Votreconnexion VPN bascule automatiquement vers le deuxième tunnel lors de ces opérations de maintenance.Lorsque vous configurez votre passerelle client, il est donc important de configurer les deux tunnels.

2

Amazon Virtual Private Cloud Network Administrator GuideQu'est-ce qu'une passerelle client ?

Vous pouvez créer des connexions VPN supplémentaires vers d'autres VPC à l'aide de la même passerelleclient. De plus, vous pouvez réutiliser la même adresse IP de passerelle client pour chacune de cesconnexions VPN.

Lorsque vous créez une connexion VPN, le tunnel VPN intervient quand du trafic est généré depuis votrecôté de la connexion VPN. La passerelle réseau privé virtuel n'en est pas l'initiatrice ; votre passerelle clientdoit lancer les tunnels.

Pour plus d'informations sur les composants d'une connexion VPN, consultez Connexions VPN dans leAmazon VPC Guide de l'utilisateur.

Pour vous protéger contre une perte de connectivité si votre passerelle client devient indisponible, vouspouvez configurer une deuxième connexion VPN. Pour plus d'informations, consultez la section Utilisationde connexions VPN redondantes pour contrer le failover.

3

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNConnections

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNConnections

Amazon Virtual Private Cloud Network Administrator GuideVotre rôle

Votre rôleDans ce guide, nous faisons référence à l'équipe d'intégration de votre entreprise. Il s'agit des personneschargées d'intégrer votre infrastructure dans Amazon VPC. Cette équipe (dont vous faites ou non partie)doit utiliser AWS Management Console pour créer une connexion VPN et obtenir les informations dontvous avez besoin pour configurer votre passerelle client. Votre entreprise peut disposer d'une équipedistincte pour chaque tâche : une équipe d'intégration qui utilise AWS Management Console, et une équipedistincte d'ingénierie réseau, qui a accès aux périphériques réseau et configure la passerelle client. Dansle cadre du présent guide, nous partons du principe que vous faites partie de l'équipe d'ingénierie réseau.Celle-ci reçoit des informations de la part de l'équipe d'intégration de votre entreprise, ce qui lui permet deconfigurer la passerelle client.

Présentation de la configuration d'une connexionVPN

Le processus de configuration de la connexion VPN dans AWS est expliqué dans le Amazon VPC Guidede l'utilisateur. L'une des tâches du processus global consiste à configurer la passerelle client. Pourcréer la connexion VPN, AWS a besoin d'informations sur la passerelle client et vous devez configurer lepériphérique de passerelle client.

Pour configurer une connexion VPN, suivez ces étapes générales :

1. Désignez l'équipement qui servira de passerelle client. Pour plus d'informations, consultez Passerellesclient que nous avons testées (p. 7) et Conditions requises pour votre passerelle client (p. 8).

2. Obtenez les Informations réseau (p. 4) nécessaires et communiquez-les à l'équipe chargée de créerla connexion VPN dans AWS.

3. Créez une connexion VPN dans AWS et obtenez le fichier de configuration pour votre passerelle client.Pour plus d'informations, consultez Configuration d'une connexion VPN AWS dans le manuel AmazonVPC Guide de l'utilisateur.

4. Configurez votre passerelle client à l'aide des informations du fichier de configuration. Ce guide proposedes exemples.

5. Générez du trafic à partir de votre côté de la connexion VPN afin d'établir le tunnel VPN.

Informations réseauPour créer une connexion VPN dans AWS, vous avez besoin des informations suivantes.

Elément Commentaires

Le fournisseur de la passerelle client (par exemple,Cisco), la plateforme (par exemple, les routeursISR) et la version du logiciel (par exemple,IOS 12.4)

Ces informations permettent de générer un fichierde configuration pour la passerelle client.

L'adresse IP routable par Internet pour l'interfaceexterne du périphérique de passerelle client.

La valeur doit être statique. Votre passerelle clientpeut se trouver derrière un périphérique exécutantune NAT (Network Address Translation, traductiond'adresses réseau).

4

http://aws.amazon.com/console

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/SetUpVPNConnections.html

Amazon Virtual Private Cloud Network Administrator GuideAWS VPN CloudHub et passerelles client redondantes

Elément Commentaires

Note

Pour une configuration NAT, le traficenvoyé via un tunnel VPN ne doit pas êtreconverti en l'adresse IP de la passerelleclient.

(Facultatif) Numéro d'ASN (Autonomous SystemNumber) BGP (Border Gateway Protocol) de lapasserelle client.

Vous pouvez utiliser un ASN existant assigné àvotre réseau. Si vous n'en n'avez pas, vous pouvezutiliser un ASN privé (dans la plage 64512–65534).Dans le cas contraire, nous partons du principeque la version du moteur de cache de la passerelleclient est 65000.

(Facultatif) L'ASN pour le côté Amazon de lasession BGP.

Spécifié lorsque vous créez une passerelle privéevirtuelle. Si vous ne spécifiez pas de valeur, l'ASNpar défaut s'applique. Pour plus d'informations,consultez Passerelle privée virtuelle.

(Facultatif) Informations de tunnel pour chaquetunnel VPN

Vous pouvez spécifier les informations de tunnelsuivantes pour la connexion VPN :

• CIDR interne du tunnel• Clé pré-partagée permettant d'établir

l'association de sécurité IKE initiale entre lapasserelle privée virtuelle et la passerelle client.

Pour en savoir plus, consultez Configuration destunnels VPN pour votre connexion VPN.

Le fichier de configuration pour votre passerelle client comprend les valeurs que vous spécifiez pour leséléments ci-dessus. Il contient également les valeurs supplémentaires requises pour configurer les tunnelsVPN, y compris l'adresse IP externe pour la passerelle privée virtuelle. Cette valeur est statique sauf sivous recréez la connexion VPN dans AWS.

AWS VPN CloudHub et passerelles clientredondantes

Vous pouvez établir plusieurs connexions VPN entre plusieurs passerelles client et une passerelleréseau privé virtuel. Cette configuration peut être utilisée de différentes façons : vous pouvez disposer depasserelles client redondantes entre votre centre de données et votre VPC, ou de plusieurs emplacementsconnectés à l'AWS VPN CloudHub.

Si vous disposez de passerelles client redondantes, chaque passerelle client publie le même préfixe (parexemple, 0.0.0.0/0) sur la passerelle réseau privé virtuel. Nous utilisons le routage BGP pour déterminer lechemin pour le trafic. En cas de défaillance d'une passerelle client, la passerelle privée virtuelle dirige toutle trafic vers la passerelle client opérationnelle.

Si vous utilisez la configuration AWS VPN CloudHub, plusieurs sites peuvent accéder à votre VPC ouaccéder en toute sécurité à chacun d'entre eux à l'aide d'un simple modèle en étoile. Vous configurezchaque passerelle client pour publier un préfixe propre à un site (tel que 10.0.0.0/24, 10.0.1.0/24) sur la

5

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNGateway

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#VPNTunnels


Amazon Virtual Private Cloud Network Administrator GuideConfiguration de plusieurs connexions VPN dans votre VPC

passerelle réseau privé virtuel. Celle-ci achemine le trafic vers le site approprié et indique l'accessibilitéd'un site à tous les autres sites.

Pour configurer l'AWS VPN CloudHub, utilisez la console Amazon VPC afin de créer plusieurs passerellesclient, chacune avec l'adresse IP publique de la passerelle. Vous devez utiliser un numéro d'ASN(Autonomous System Number) BGP (Border Gateway Protocol) unique pour chacune. Ensuite, créez uneconnexion VPN pour chaque passerelle client vers une passerelle privée virtuelle commune. Utilisez lesinstructions suivantes pour configurer chaque passerelle client afin de la connecter à la passerelle réseauprivé virtuel.

Pour permettre aux instances de votre VPC d'atteindre la passerelle réseau privé virtuel (puis vospasserelles client), vous devez configurer des routes dans les tables de routage de votre VPC. Pour obtenirdes instructions complètes, consultez Connexions VPN dans le Amazon VPC Guide de l'utilisateur. PourAWS VPN CloudHub, vous pouvez configurer une route agrégée dans la table de routage du VPC (parexemple, 10.0.0.0/16) et utiliser des préfixes plus spécifiques entre les passerelles client et la passerelleréseau privé virtuel.

Configuration de plusieurs connexions VPN dansvotre VPC

Vous pouvez créer jusqu'à 10 connexions VPN pour votre VPC. De plus, vous pouvez utiliser plusieursconnexions VPN pour associer vos bureaux à distance à un même VPC. Par exemple, si vous possédezdes bureaux à Los Angeles, Chicago, New York et Miami, vous pouvez associer chacun d'entre eux àvotre VPC. Vous pouvez également utiliser plusieurs connexions VPN afin d'établir des passerelles clientredondantes à partir d'un seul emplacement.

Note

Si vous avez besoin de plus de 10 connexions VPN, remplissez le formulaire Request to IncreaseAmazon VPC Limits afin de demander une augmentation de la limite définie.

Lorsque vous créez plusieurs connexions VPN, la passerelle réseau privé virtuel envoie le trafic réseauvers la connexion VPN appropriée à l'aide de routes affectées statiquement ou d'annonces de routes BGP,selon la façon dont la connexion VPN a été configurée. Les routes affectées statiquement sont préféréesaux routes annoncées par BGP lorsque des routes identiques existent dans la passerelle réseau privévirtuel.

Lorsque vous disposez de passerelles client dans plusieurs sites géographiques, chacune d'entre ellesdoit annoncer un ensemble unique de plages d'adresses IP propre à chaque emplacement. Lorsque vousétablissez des passerelles client redondantes dans un même emplacement, les deux passerelles doiventannoncer les mêmes plages d'adresses IP.

La passerelle réseau privé virtuel reçoit les informations de routage en provenance de toutes lespasserelles client et calcule l'ensemble des chemins préférés à l'aide de l'algorithme de sélection dumeilleur chemin BGP. Appliquées à VPC, les règles de cet algorithme sont les suivantes :

1. Le préfixe IP le plus spécifique est privilégié (par exemple, 10.0.0.0/24 est préféré à 10.0.0.0/16).Pour plus d'informations, consultez la section Priorité de route dans le manuel Amazon VPC Guide del'utilisateur.

2. Lorsque les préfixes sont identiques, les connexions VPN configurées statiquement (si elles existent)sont privilégiées. Pour les préfixes qui correspondent lorsque chaque connexion VPN utilise BGP, lechemin d'AS est comparé et le préfixe comportant le chemin d'AS le plus court est privilégié. Vouspouvez également ajouter le préfixe AS_PATH de façon à moins privilégier le chemin.

3. Lorsque les chemins d'AS sont de même longueur, la comparaison porte sur l'origine du chemin. Lespréfixes dont l'origine est IGP (Interior Gateway Protocol) sont préférés à ceux dont l'origine est EGP(Exterior Gateway Protocol), qui sont eux-mêmes préférés à ceux dont l'origine est inconnue.

6

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html

http://aws.amazon.com/contact-us/vpc-request/

http://aws.amazon.com/contact-us/vpc-request/

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html#route-tables-priority

Amazon Virtual Private Cloud Network Administrator GuidePasserelles client que nous avons testées

Le schéma suivant illustre la configuration de plusieurs VPN.

Passerelles client que nous avons testéesVotre passerelle client peut prendre la forme d'un composant physique ou logiciel.

Pour plus d'informations sur les routeurs spécifiques que nous avons testés, consultez la section Quelssont les périphériques customer gateway dont la compatibilité avec Amazon VPC a été vérifiée ? dans lasection Connectivité du Forum Aux Questions (FAQ) Amazon VPC.

Ce guide présente des informations sur la façon de configurer les périphériques suivants :

• Check Point Security Gateway fonctionnant avec R77.10 (ou version ultérieure)• Cisco ASA fonctionnant avec ASA 8.2 (ou version plus récente)• Cisco IOS fonctionnant avec Cisco IOS 12.4 (ou version plus récente)• Dell SonicWALL exécutant le logiciel SonicOS 5.9 (ou une version ultérieure)• Fortinet Fortigate 40+ Series fonctionnant avec FortiOS 4.0 (ou version plus récente)• Juniper J-Series fonctionnant avec JunOS 9.5 (ou version plus récente)• Juniper SRX fonctionnant avec des logiciels JunOS 11.0 (ou version ultérieure)• Juniper SSG fonctionnant avec des logiciels Screen OS 6.1 ou 6.2 (ou version plus récente)• Juniper ISG fonctionnant avec Screen OS 6.1 ou 6.2 (ou version plus récente)• Netgate pfSense fonctionnant avec des logiciels OS 2.2.5 (ou version ultérieure).

7

https://aws.amazon.com/vpc/faqs/#Connectivity

Amazon Virtual Private Cloud Network Administrator GuideConditions requises pour votre passerelle client

• Palo Alto Networks PANOS 4.1.2 (ou version ultérieure)• Routeurs Yamaha RT107e, RTX1200, RTX1210, RTX1500, RTX3000 et SRT100• Microsoft Windows Server 2008 R2 (ou version plus récente)• Microsoft Windows Server 2012 R2 (ou version plus récente)• Le logiciel Zyxel Zywall Series 4.20 (ou version plus récente) pour les connexions VPN à routage

statique, ou 4.30 (ou version plus récente) pour les connexions VPN à routage dynamique

Si vous possédez l'un de ces périphériques, et si vous le configurez pour IPsec via une autre méthode quecelle présentée dans ce guide, n'hésitez pas à modifier notre proposition de configuration afin de l'adapter àvos besoins spécifiques.

Conditions requises pour votre passerelle clientLa configuration de la passerelle client est composée de 4 éléments principaux. Tout au long de ce guide,nous utilisons un symbole pour chacun de ces éléments, afin de vous aider à mieux comprendre la marcheà suivre. Le tableau suivant indique les 4 éléments et les symboles correspondants.

Association de sécurité IKE (nécessaire pour échanger les clés permettant d'établirl'association de sécurité IPsec)

Association de sécurité IPsec (gère le cryptage du tunnel, l'authentification, etc.)

Interface du tunnel (reçoit le trafic qui entre et sort du tunnel)

Facultatif Appairage BGP (échange les routes entre la passerelle client et la passerelle réseau privévirtuel) pour les périphériques qui utilisent BGP

Si votre périphérique ne figure pas dans la liste précédente des appareils testés, cette section décritles conditions requises qu'il doit respecter pour que vous puissiez l'utiliser avec Amazon VPC. Letableau ci-dessous répertorie les conditions que la passerelle client doit respecter, la RFC concernée(pour information) et des commentaires sur les conditions requises. Pour obtenir un exemple desinformations de configuration si votre périphérique ne correspond pas à l'un des appareils Cisco ouJuniper testés, consultez la page Exemple : passerelle client générique utilisant un BGP (Border GatewayProtocol) (p. 165).

Chaque connexion VPN est composée de 2 tunnels distincts. Chaque tunnel comporte une associationde sécurité IKE, une association de sécurité IPsec et un appairage BGP. Vous êtes limité à 1 paired'associations de sécurité (SA, Security Association) unique par tunnel (1 entrante et 1 sortante) et doncà 2 paires d'associations de sécurité uniques au total pour les 2 tunnels (4 SA). Certains périphériquesutilisent un VPN basé sur une politique et créent autant de SA que d'entrées ACL (liste de contrôled'accès). Par conséquent, vous pouvez être amené à regrouper vos règles, puis à définir des filtres afin dene pas autoriser le trafic non souhaité.

Le tunnel VPN intervient lorsque le trafic est généré depuis votre côté de la connexion VPN. Le point determinaison AWS n'est pas l'initiateur ; votre passerelle client doit lancer les tunnels.

8


Exigence RFC Commentaires

Établir une association desécurité IKE en utilisant desclés pré-partagées

RFC 2409 L'association de sécurité IKE est d'abord établie entrela passerelle privée virtuelle et la passerelle client enutilisant la clé pré partagée comme authentificateur. Lorsde l'établissement de la connexion, IKE négocie une clééphémère afin de sécuriser les messages IKE futurs.L'établissement approprié d'une association de sécuritéIKE nécessite un accord complet entre les paramètres,dont les paramètres de chiffrement et d'authentification.

Lorsque vous créez une connexion VPN dans AWS, vouspouvez spécifier votre propre clé pré-partagée pour chaquetunnel, ou laisser AWS en générer une pour vous. Pour ensavoir plus, consultez Configuration des tunnels VPN pourvotre connexion VPN.

établir des associations desécurité IPsec en modetunnel

RFC 4301 À l'aide de la clé éphémère IKE, des clés sont établiesentre la passerelle réseau privé virtuel et la passerelleclient de façon à former une association de sécurité (SA)IPsec. Le trafic entre les passerelles est chiffré et déchiffréà l'aide de cette SA. Les clés éphémères utilisées pourchiffrer le trafic au sein de la SA IPsec font l'objet d'unerotation automatique et régulière par IKE afin de garantir laconfidentialité des communications.

Utiliser la fonction dechiffrement AES 128 bits ou256 bits

RFC 3602 La fonction de chiffrement est utilisée pour garantir laconfidentialité parmi les associations de sécurité IKE etIPsec.

Utiliser la fonction dehachage SHA-1 ouSHA-256

RFC 2404 Cette fonction de hachage est utilisée pour authentifier lesassociations de sécurité IKE et IPsec.

Utiliser le protocole deDiffie-Hellman pour uneconfidentialité persistanteparfaite. Les groupessuivants sont pris encharge :

• Phase 1 : groupes 2,14-18, 22, 23 et 24

• Phase 2 : groupes 2, 5,14-18, 22, 23 et 24

RFC 2409 IKE utilise Diffie-Hellman pour établir des clés éphémèresafin de sécuriser toutes les communications entre lespasserelles client et les passerelles privées virtuelles.

utiliser IPsec Dead PeerDetection

RFC 3706 L'utilisation du mécanisme DPD (Dead Peer Detection)permet aux périphériques VPN de savoir rapidementquand une condition réseau empêche la transmission depaquets sur Internet. Lorsque cette situation se produit,les passerelles suppriment les associations de sécurité ettentent d'en créer de nouvelles. Au cours de ce processus,l'autre tunnel IPsec est utilisé dans la mesure du possible.

Relier le tunnel à l'interfacelogique (VPN basé sur uneroute)

Aucune Votre passerelle doit prendre en charge la possibilité derelier le tunnel IPsec à une interface logique. L'interfacelogique comporte une adresse IP qui permet d'établirl'appairage BGP avec la passerelle réseau privé

9

http://tools.ietf.org/html/rfc2409









Exigence RFC Commentairesvirtuel. Cette interface logique ne doit exécuter aucuneencapsulation supplémentaire (par exemple, GRE, IPdans IP). Votre interface doit être définie sur une unité detransmission maximale (MTU) de 1 399 octets.

Pratiquer une fragmentationpar paquets IP avant lechiffrement

RFC 4459 Les paquets trop volumineux pour être transmisdoivent être fragmentés. Nous ne reconstituons pasles paquets chiffrés fragmentés. Par conséquent, votrepériphérique VPN doit fragmenter les paquets avantl'encapsulation avec les en-têtes VPN. Les fragmentssont transmis individuellement à l'hôte distant, qui lesreconstitue. Pour plus d'informations sur la fragmentation,consultez l'article de Wikipédia sur la fragmentation IP.

(Facultatif) Établir desappairages BGP

RFC 4271 Le protocole BGP permet d'échanger des routes entre lapasserelle client et la passerelle réseau privé virtuel pourles périphériques qui l'utilisent. L'ensemble du trafic BGPest chiffré et transmis via l'association de sécurité IPsec.Le protocole BGP est requis pour les deux passerelles afind'échanger les préfixes IP accessibles via l'AS IPsec.

Nous vous recommandons d'utiliser les techniques figurant dans le tableau suivant pour limiter lesproblèmes relatifs à la quantité de données qui peuvent être transmises via le tunnel IPsec. La quantité dedonnées que l'on peut transmettre dans un seul paquet est limitée, car la connexion encapsule les paquetsavec des en-têtes réseau supplémentaires (dont IPsec).

Technique RFC Commentaires

Ajuster la taille de segmentmaximale des paquetsTCP qui entrent dans letunnel VPN

RFC 4459 Les paquets TCP sont souvent le type de paquets le plusrépandu dans les tunnels IPsec. Certaines passerellesont la possibilité de modifier le paramètre correspondantà la taille de segment maximale des paquets TCP. Enconséquence, les points de terminaison TCP (clients,serveurs) réduisent alors la quantité de données envoyéesavec chaque paquet. Cette approche est idéale, carles paquets qui accèdent aux périphériques VPN sontsuffisamment petits pour être encapsulés et transmis.

Réinitialiser l'indicateur « Nepas fragmenter » dans lespaquets

RFC 791 Certains paquets comportent un indicateur, libellé Ne pasfragmenter, indiquant qu'il ne faut pas les fragmenter. Siles paquets comportent cet indicateur, les passerellesgénèrent un message ICMP indiquant que la taille PMTU(Path MTU) a été dépassée. Dans certains cas, lesapplications n'incluent pas de mécanismes appropriéspour traiter ces messages ICMP et réduire la quantitéde données transmises dans chaque paquet. Certainspériphériques VPN sont capables de remplacer l'indicateurDF et de fragmenter les paquets sans condition sinécessaire. Si votre passerelle client est dotée de cettefonctionnalité, nous vous recommandons de l'utiliser le caséchéant.

10


http://en.wikipedia.org/wiki/IP_fragmentation




Amazon Virtual Private Cloud Network Administrator GuideConfiguration d'un pare-feu entreInternet et votre passerelle client

Si vous disposez d'un pare-feu entre votre passerelle client et Internet, consultez la section Configurationd'un pare-feu entre Internet et votre passerelle client (p. 11).

Configuration d'un pare-feu entre Internet et votrepasserelle client

Pour utiliser ce service, vous devez disposer d'une adresse IP routable sur Internet à utiliser comme pointde terminaison des tunnels IPsec reliant votre passerelle client à la passerelle privée virtuelle. S'il existeun pare-feu entre Internet et votre passerelle, les règles figurant dans le tableau suivant doivent êtreappliquées pour établir les tunnels IPsec. Les adresses de la passerelle réseau privé virtuel sont inclusesdans les informations de configuration que vous fournira l'équipe d'intégration.

Entrant (depuis Internet)

Règle entrante E1

IP Source passerelle réseau privé virtuel 1

IP Dest Passerelle client

Protocole UDP

Port source 500

Destination 500

Règle entrante E2



Protocole UDP

Port source 500

Port de destination 500

Règle entrante E3



Protocole IP 50 (ESP)

Règle entrante E4




Sortant (vers Internet)

Règle sortante S1

11

Amazon Virtual Private Cloud Network Administrator GuideConfiguration d'un pare-feu entreInternet et votre passerelle client

IP Source Passerelle client

IP Dest passerelle réseau privé virtuel 1

Protocole UDP

Port source 500


Règle sortante S2



Protocole UDP

Port source 500


Règle sortante S3




Règle sortante S4




Les règles E1, E2, S1 et S2 permettent la transmission des paquets IKE. Les règles E3, E4, S3 et S4permettent la transmission des paquets IPsec contenant le trafic réseau chiffré.

Si vous utilisez la traversée NAT (NAT-T) sur votre périphérique, vous devez inclure des règles autorisantl'accès UDP via le port 4500. Vérifiez si votre périphérique annonce la NAT-T.

12

Amazon Virtual Private Cloud Network Administrator GuideVue globale de la passerelle client

Exemple : Périphérique Check Pointavec protocole de passerelle frontière(BGP)

Cette section contient les informations de configuration fournies par votre équipe d'intégration si votrepasserelle client est un périphérique Check Point Security Gateway fonctionnant sous R77.10 ou versionultérieure, et utilisant le système d'exploitation Gaia.

Rubriques• Vue globale de la passerelle client (p. 13)• Fichier de configuration (p. 14)• Configuration du périphérique Check Point (p. 14)• Comment tester la configuration de la passerelle client (p. 21)

Vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. Veuillez noter que laconnexion VPN se compose de deux tunnels séparés. L'utilisation de tunnels redondants garantit unedisponibilité continue en cas de panne d'un périphérique.

13

Amazon Virtual Private Cloud Network Administrator GuideFichier de configuration

Fichier de configurationVotre équipe d'intégration vous fournit un fichier de configuration avec les valeurs dont vous avez besoinpour configurer chaque tunnel, ainsi que les paramètres IKE et IPsec de votre périphérique VPN. Lefichier de configuration inclut les instructions sur l'utilisation du portail web Gaia et de Check PointSmartDashboard pour configurer votre périphérique. Les mêmes étapes sont fournies dans la sectionsuivante.

Voici l'extrait d'un exemple de fichier de configuration. Le fichier contient deux sections : IPSec Tunnel#1 et IPSec Tunnel #2. Vous devez utiliser les valeurs fournies dans chaque section pour configurerchaque tunnel.

! Amazon Web Services! Virtual Private Cloud

! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuration du périphérique Check PointLes procédures suivantes montrent comment configurer les tunnels VPN, les objets réseau et la sécurité devotre connexion VPN. Vous devez remplacer les exemples de valeurs dans les procédures par les valeursfournies dans le fichier de configuration.

Note

Pour plus d'informations, consultez l'article Amazon Web Services (AWS) VPN BGP sur le Centrede support Check Point.

Rubriques• Étape 1 : Configurer les interfaces de tunnel (p. 15)

14

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk108958

Amazon Virtual Private Cloud Network Administrator GuideÉtape 1 : Configurer les interfaces de tunnel

• Étape 2 : Configurer BGP (p. 16)• Étape 3 : Créer des objets réseau (p. 16)• Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec (p. 17)• Étape 5 : Configurer le pare-feu (p. 19)• Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS (p. 20)

Étape 1 : Configurer les interfaces de tunnelLa première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de lapasserelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour le premier tunnel, utilisezles informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Pour le secondtunnel, utilisez les valeurs fournies dans la section IPSec Tunnel #2 du fichier de configuration.

Pour configurer l'interface du tunnel

1. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui pardéfaut, choisissez clish en exécutant la commande suivante : clish

2. Définissez l'ASN de la passerelle client (l'ASN fourni lorsque la passerelle client a été créée dansAWS) en exécutant la commande suivante :

set as 65000

3. Créez l'interface de tunnel pour le premier tunnel, en utilisant les informations fournies dans la sectionIPSec Tunnel #1 du fichier de configuration. Fournissez un nom unique pour votre tunnel, tel queAWS_VPC_Tunnel_1.

add vpn tunnel 1 type numbered local 169.254.44.234 remote 169.254.44.233 peer AWS_VPC_Tunnel_1 set interface vpnt1 state on set interface vpnt1 mtu 1436

4. Répétez ces commandes pour créer le second tunnel, à l'aide des informations fournies dans lasection IPSec Tunnel #2 du fichier de configuration. Fournissez un nom unique pour votre tunnel,tel que AWS_VPC_Tunnel_2.

add vpn tunnel 1 type numbered local 169.254.44.38 remote 169.254.44.37 peer AWS_VPC_Tunnel_2 set interface vpnt2 state on set interface vpnt2 mtu 1436

5. Définissez l'ASN de la passerelle réseau privé virtuel :

set bgp external remote-as 7224 on

6. Configurez le protocole BGP pour le premier tunnel, à l'aide des informations fournies dans la sectionIPSec Tunnel #1 du fichier de configuration :

set bgp external remote-as 7224 peer 169.254.44.233 on set bgp external remote-as 7224 peer 169.254.44.233 holdtime 30set bgp external remote-as 7224 peer 169.254.44.233 keepalive 10

7. Configurez le protocole BGP pour le second tunnel, à l'aide des informations fournies dans la sectionIPSec Tunnel #2 du fichier de configuration :

set bgp external remote-as 7224 peer 169.254.44.37 on

15

Amazon Virtual Private Cloud Network Administrator GuideÉtape 2 : Configurer BGP

set bgp external remote-as 7224 peer 169.254.44.37 holdtime 30set bgp external remote-as 7224 peer 169.254.44.37 keepalive 10

8. Enregistrez la configuration :

save config

Étape 2 : Configurer BGPDans cette étape, vous créez une stratégie BGP qui permet l'importation des itinéraires publiés par AWS,puis configurez votre passerelle client pour qu'elle publie ses itinéraires locaux sur AWS.

Pour créer une stratégie BGP

1. Dans l'interface utilisateur Web de Gaia, sélectionnez Advanced Routing, Inbound Route Filters.Choisissez Add, puis sélectionnez Add BGP Policy (Based on AS).

2. Pour Add BGP Policy, sélectionnez une valeur comprise entre 512 et 1024 dans le premier champ,puis saisissez l'ASN de la passerelle réseau privé virtuel dans le second champ ; par exemple, 7224.

3. Sélectionnez Save.

Les étapes suivantes concernent la répartition des itinéraires locaux d'interface. Vous pouvez égalementredistribuer les itinéraires à partir de différentes sources : par exemple, les itinéraires statiques ou ceuxobtenus via les protocoles de routage dynamique. Pour plus d'informations, consultez le manuel GaiaAdvanced Routing R77 Versions Administration Guide.

Pour publier les itinéraires locaux

1. Dans l'interface utilisateur Web de Gaia, sélectionnez Advanced Routing, Routing Redistribution.Choisissez Add Redistribution From et sélectionnez Interface.

2. Pour To Protocol, sélectionnez l'ASN de la passerelle réseau privé virtuel : par exemple, 7224.3. Pour Interface, sélectionnez une interface interne. Sélectionnez Save.

Étape 3 : Créer des objets réseauDans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IPpubliques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau entant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe videcomme espace réservé du domaine VPN.

Pour définir un nouvel objet réseau

1. Ouvrez Check Point SmartDashboard.2. Pour Groups, ouvrez le menu contextuel et choisissez Groups, Simple Group. Vous pouvez utiliser le

même groupe pour chaque objet réseau.3. Pour Network Objects, ouvrez le menu contextuel (clic droit) et choisissez New, Interoperable Device.4. Pour Name, entrez le nom que vous avez fourni pour votre tunnel à l'étape 1 : AWS_VPC_Tunnel_1 ou

AWS_VPC_Tunnel_2, par exemple.5. Pour IPv4 Address, entrez l'adresse IP externe de la passerelle réseau privé virtuel fournie dans le

fichier de configuration (54.84.169.196, par exemple). Enregistrez vos paramètres et fermez la boîtede dialogue.

16

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

https://sc1.checkpoint.com/documents/R77/CP_R77_Gaia_Advanced_Routing_WebAdminGuide/html_frameset.htm

Amazon Virtual Private Cloud Network Administrator GuideÉtape 4 : Créer une communautéVPN, et configurer IKE et IPsec

6. Dans le volet de gauche des catégories, sélectionnez Topology.7. Dans la section VPN Domain, choisissez Manually defined, puis accédez au groupe simple vide que

vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.8. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section IPSec

Tunnel #2 du fichier de configuration.9. Accédez à votre objet réseau passerelle, ouvrez votre objet passerelle ou cluster, puis sélectionnez

Topology.10. Dans la section VPN Domain, choisissez Manually defined, puis accédez au groupe simple vide que

vous avez créé à l'étape 2 et sélectionnez-le. Sélectionnez OK

Note

Vous pouvez conserver tout domaine VPN existant que vous avez configuré ; cependant,assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexionVPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN estautomatiquement dérivé.

Note

Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces decluster. Utilisez les adresses IP spécifiées dans le fichier de configuration.

Étape 4 : Créer une communauté VPN, et configurerIKE et IPsecDans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vousajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également lesparamètres IKE (Internet Key Exchange) et IPsec.

Pour créer et configurer la communauté VPN, et les paramètres IKE et IPsec

1. A partir des propriétés de votre passerelle, choisissez IPSec VPN dans le volet des catégories.2. Choisissez Communities, New, Star Community.

17


3. Entrez un nom pour votre communauté (par exemple, AWS_VPN_Star), puis choisissez CenterGateways dans le volet des catégories.

4. Choisissez Add, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.5. Dans le volet des catégories, sélectionnez Satellite Gateways, Add, puis ajoutez les périphériques

interopérables que vous avez créés précédemment (AWS_VPC_Tunnel_1 et AWS_VPC_Tunnel_2) àla liste des passerelles participantes.

6. Dans le volet des catégories, sélectionnez Encryption. Dans la section Encryption Method, choisissezIKEv1 for IPv4 and IKEv2 for IPv6. Dans la section Encryption Suite choisissez Custom, CustomEncryption.

Note

Vous devez sélectionner l'option IKEv1 for IPv4 and IKEv2 for IPv6 pour la fonctionnalitéIKEv1 ; cependant, les méthodes IKEv2 et IPv6 se sont pas prises en charge actuellement.

7. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez OKlorsque vous avez terminé :

• Propriétés IKE Security Association (Phase 1) :• Perform key exchange encryption with : AES-128• Perform data integrity with : SHA1

• Propriétés IPsec Security Association (Phase 2) :• Perform IPsec data encryption with : AES-128• Perform data integrity with : SHA-1

8. Dans le volet des catégories, sélectionnez Tunnel Management. Choisissez Set Permanent Tunnels,On all tunnels in the community. Dans la section VPN Tunnel Sharing, choisissez One VPN tunnel perGateway pair.

9. Dans le volet des catégories, développez Advanced Settings, puis choisissez Shared Secret.10. Sélectionnez le nom d'homologue du premier tunnel, choisissez Edit et entrez la clé prépartagée

comme indiqué dans le fichier de configuration dans la section IPSec Tunnel #1.11. Sélectionnez le nom d'homologue du second tunnel, choisissez Edit et entrez la clé prépartagée

comme indiqué dans le fichier de configuration dans la section IPSec Tunnel #2.

18

Amazon Virtual Private Cloud Network Administrator GuideÉtape 5 : Configurer le pare-feu

12. Toujours dans la catégorie Advanced Settings, choisissez Advanced VPN Properties, configurez lespropriétés comme suit et sélectionnez OK lorsque vous avez terminé :

• IKE (Phase 1) :• Use Diffie-Hellman group : Group 2 (1024 bit)• Renegotiate IKE security associations every 480 minutes

• IPsec (Phase 2) :• Choisissez Use Perfect Forward Secrecy• Use Diffie-Hellman group : Group 2 (1024 bit)• Renegotiate IPsec security associations every 3600 seconds

Étape 5 : Configurer le pare-feuDans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles decorrespondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vousinstallez la stratégie sur votre passerelle.

Pour créer les règles de pare-feu

1. Dans SmartDashboard, sélectionnez Global Properties pour votre passerelle. Dans le volet descatégories, développez VPN, puis choisissez Advanced.

2. Choisissez Enable VPN Directional Match in VPN Column, puis OK.

19

Amazon Virtual Private Cloud Network Administrator GuideÉtape 6 : Activer la détection d'homologue

mort et la restriction TCP MSS

3. Dans SmartDashboard, sélectionnez Firewall et créez une stratégie avec les règles suivantes :

• Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis.• Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

4. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez Edit Cell.5. Dans la boîte de dialogue VPN Match Conditions, choisissez Match traffic in this direction only. Créez

les règles de correspondance directionnelle suivantes en choisissant Add pour chaque règle, puis OKlorsque vous avez terminé :

• internal_clear > Communauté VPN (la communauté VPN que vous avez créée plus tôt : parexemple, AWS_VPN_Star)

• Communauté VPN > Communauté VPN• Communauté VPN > internal_clear

6. Dans SmartDashboard, choisissez Policy, Install.7. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez OK pour installer la stratégie.

Étape 6 : Activer la détection d'homologue mort et larestriction TCP MSSVotre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) poursavoir à quel moment une association IKE est arrêtée.

Pour configurer la DPD pour un tunnel permanent, le tunnel permanent doit être configuré dans lacommunauté AWS VPN (consultez l'étape 8 dans Étape 4 : Créer une communauté VPN, et configurer IKEet IPsec (p. 17)).

Par défaut, la propriété tunnel_keepalive_method pour une passerelle VPN est définie surtunnel_test. Vous devez modifier la valeur sur dpd. Chaque passerelle VPN de la communauté VPNqui nécessite une surveillance DPD doit être configurée avec la propriété tunnel_keepalive_method,notamment n'importe quelle passerelle VPN tierce (vous ne pouvez pas configurer différents mécanismesde surveillance pour la même passerelle).

Vous pouvez mettre à jour la propriété tunnel_keepalive_method en utilisant l'outil GuiDBedit.

Pour modifier la propriété tunnel_keepalive_method

1. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, DomainManagement Server.

2. Choisissez File, Database Revision Control... et créez un instantané de révision.3. Fermez toutes les fenêtres SmartConsole, telles que SmartDashboard, SmartView Tracker et

SmartView Monitor.4. Démarrez l'outil GuiBDedit. Pour plus d'informations, consultez l'article Check Point Database Tool sur

le Centre de support Check Point.5. Choisissez Security Management Server, Domain Management Server.6. Dans le volet supérieur gauche, choisissez Table, Network Objects, network_objects.7. Dans le volet supérieur droit, sélectionnez l'objet Security Gateway, Cluster approprié.8. Appuyez sur CTRL+F, ou utilisez le menu Search pour rechercher ce qui suit :

tunnel_keepalive_method.9. Dans le volet inférieur, ouvrez le menu contextuel pour tunnel_keepalive_method et sélectionnez

Edit.... Choisissez dpd, puis OK.10. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.

20

http://supportcontent.checkpoint.com/solutions?id=sk13009

Amazon Virtual Private Cloud Network Administrator GuideComment tester la configuration de la passerelle client

11. Sélectionnez File, Save As.12. Fermez l'outil GuiDBedit.13. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, Domain

Management Server.14. Installez la stratégie sur l'objet Security Gateway, Cluster approprié.

Pour plus d'informations, consultez l'article Nouvelles fonction VPN dans R77.10 sur le Centre de supportCheck Point.

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentationdes paquets.

Pour activer la restriction TCP MSS

1. Accédez au répertoire suivant : C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Ouvrez Check Point Database Tool en exécutant le fichier GuiDBEdit.exe.3. Choisissez Table, Global Properties, properties.4. Pour fw_clamp_tcp_mss, choisissez Edit. Remplacez la valeur par true, puis choisissez OK.

Comment tester la configuration de la passerelleclient

Vous pouvez tester la configuration de la passerelle pour chaque tunnel.

Tester la configuration de la passerelle client pour chaque tunnel

1. Sur votre passerelle client, déterminez si l'état du BGP est Active.

Environ 30 secondes s'écoulent avant que l'appairage BGP devienne actif.2. Vérifiez que la passerelle client publie une route par défaut vers la passerelle réseau privée virtuelle. Il

peut s'agir de la route par défaut (0.0.0.0/0) ou d'une route plus spécifique de votre choix.

Une fois correctement établi, votre appairage BGP devrait recevoir une route provenant de la passerelleréseau privée virtuelle et correspondant au préfixe que votre équipe d'intégration VPC a spécifié pour leVPC (par exemple, 10.0.0.0/24). Si l'appairage BGP est instauré, si vous recevez un préfixe et si vouspubliez un préfixe, alors votre tunnel est configuré correctement. Assurez-vous que les deux tunnels sontdans cet état.

Ensuite, vous devez tester la connectivité pour chaque tunnel en lançant une instance dans votre VPC eten effectuant un test ping de l'instance depuis votre réseau domestique. Avant de commencer, veillez àexécuter les actions suivantes :

• Utilisez une AMI répondant aux requêtes requests. Nous vous recommandons d'utiliser une des AMIAmazon Linux.

• Configurez le groupe de sécurité et la liste ACL réseau de votre instance afin d'autoriser le trafic ICMPentrant.

• Assurez-vous d'avoir configuré le routage pour votre connexion VPN : la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultezla section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.

21


http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html#vpn-configure-routing


Pour tester la connectivité de bout en bout de chaque tunnel

1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir de la consoleAmazon EC2. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise en route.

2. Après l'exécution de l'instance, obtenez son adresse IP privée (par exemple, 10.0.0.4). La consoleaffiche l'adresse dans le cadre des détails de l'instance.

3. Sur un système de votre réseau domestique, utilisez la commande ping avec l'adresse IP de l'instance.Vérifiez que l'ordinateur depuis lequel vous effectuez le test ping se trouve derrière la passerelle client.Une réponse positive doit être semblable à ce qui suit.

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:

Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

Ping statistics for 10.0.0.4:Packets: Sent = 3, Received = 3, Lost = 0 (0% loss),

Approximate round trip times in milliseconds:Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Si vous effectuez un test ping d'une instance depuis votre routeur de passerelle client, veillezà ce que les messages ping proviennent d'une adresse IP interne, et non d'une adresse IP detunnel. Certaines AMI ne répondent pas aux messages ping envoyés depuis des adresses IPde tunnels.

4. (Facultatif) Pour tester le basculement des tunnels, vous pouvez désactiver temporairement un destunnels sur votre passerelle client et répéter l'étape ci-dessus. Vous ne pouvez pas désactiver untunnel côté AWS de la connexion VPN.

Sur le côté de la passerelle Check Point, vous pouvez vérifier le statut du tunnel en exécutant la commandesuivante à partir de l'outil de ligne de commande en mode expert :

vpn tunnelutil

Dans les options qui s'affichent, sélectionnez 1 pour vérifier les associations IKE et 2 pour vérifier lesassociations IPsec.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de laconnexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyévia le tunnel 1 et qu'il a été chiffré.

22

http://docs.aws.amazon.com/AmazonVPC/latest/GettingStartedGuide/


23

Amazon Virtual Private Cloud Network Administrator GuideVue globale de la passerelle client

Exemple : périphérique Check Pointsans protocole de passerelle frontière(BGP)

Cette section contient les informations de configuration fournies par votre équipe d'intégration si votrepasserelle client est un périphérique Check Point Security Gateway fonctionnant sous R77.10 ou versionultérieure, et utilisant le système d'exploitation Gaia.

Rubriques• Vue globale de la passerelle client (p. 24)• Fichier de configuration (p. 25)• Configuration du périphérique Check Point (p. 26)• Comment tester la configuration de la passerelle client (p. 34)

Vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. Veuillez noter que laconnexion VPN se compose de deux tunnels séparés. L'utilisation de tunnels redondants garantit unedisponibilité continue en cas de panne d'un périphérique.

24

Amazon Virtual Private Cloud Network Administrator GuideFichier de configuration

Fichier de configurationVotre équipe d'intégration vous fournit un fichier de configuration avec les valeurs dont vous avez besoinpour configurer chaque tunnel, ainsi que les paramètres IKE et IPsec de votre périphérique VPN. Lefichier de configuration inclut les instructions sur l'utilisation du portail web Gaia et de Check PointSmartDashboard pour configurer votre périphérique. Les mêmes étapes sont fournies dans la sectionsuivante.

Voici l'extrait d'un exemple de fichier de configuration. Le fichier contient deux sections : IPSec Tunnel#1 et IPSec Tunnel #2. Vous devez utiliser les valeurs fournies dans chaque section pour configurerchaque tunnel.


! AWS uses unique identifiers to manipulate the configuration of ! a VPN connection. Each VPN connection is assigned an identifier and is ! associated with two other identifiers, namely the ! customer gateway identifier and virtual private gateway identifier.!! Your VPN connection ID : vpn-12345678! Your virtual private gateway ID : vgw-12345678! Your customer gateway ID : cgw-12345678!

25

Amazon Virtual Private Cloud Network Administrator GuideConfiguration du périphérique Check Point

!! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!

! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

... ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Tunnel Interface Configuration

...

Configuration du périphérique Check PointLes procédures suivantes montrent comment configurer les tunnels VPN, les objets réseau et la sécurité devotre connexion VPN. Vous devez remplacer les exemples de valeurs dans les procédures par les valeursfournies dans le fichier de configuration.

Note

Pour plus d'informations, consultez l'article Check Point Security Gateway IPsec VPN to AmazonWeb Services VPC sur le Centre de support Check Point.

Rubriques• Étape 1 : Configurer l'interface du tunnel (p. 26)• Étape 2 : Configurer l'itinéraire statique (p. 28)• Étape 3 : Créer des objets réseau (p. 29)• Étape 4 : Créer une communauté VPN, et configurer IKE et IPsec (p. 30)• Étape 5 : Configurer le pare-feu (p. 32)• Étape 6 : Activer la détection d'homologue mort et la restriction TCP MSS (p. 33)

Étape 1 : Configurer l'interface du tunnelLa première étape consiste à créer les tunnels VPN et à fournir les adresses IP privées (internes) de lapasserelle client et de la passerelle réseau privé virtuel pour chaque tunnel. Pour créer le premier tunnel,utilisez les informations fournies dans la section IPSec Tunnel #1 du fichier de configuration. Pourcréer le second tunnel, utilisez les valeurs fournies dans la section IPSec Tunnel #2 du fichier deconfiguration.

Pour configurer l'interface du tunnel

1. Ouvrez le portail Gaia de votre périphérique Check Point Security Gateway.2. Sélectionnez successivement Network Interfaces, Add, VPN tunnel.3. Dans la boîte de dialogue, configurez les paramètres comme suit et choisissez OK lorsque vous avez

terminé :

26



Amazon Virtual Private Cloud Network Administrator GuideÉtape 1 : Configurer l'interface du tunnel

• Pour VPN Tunnel ID, entrez une valeur unique, telle que 1.• Pour Peer, entrez un nom unique pour votre tunnel, tel que AWS_VPC_Tunnel_1 ouAWS_VPC_Tunnel_2.

• Vérifiez que Numbered est sélectionné et, pour Local Address, entrez l'adresse IP spécifiée pourCGW Tunnel IP dans le fichier de configuration (169.254.44.234, par exemple).

• Pour Remote Address, entrez l'adresse IP spécifiée pour VGW Tunnel IP dans le fichier deconfiguration (169.254.44.233, par exemple).

4. Connectez-vous à votre passerelle de sécurité via SSH. Si vous utilisez le shell autre que celui pardéfaut, choisissez clish en exécutant la commande suivante : clish

5. Pour tunnel 1, exécutez la commande suivante :

set interface vpnt1 mtu 1436

Pour tunnel 2, exécutez la commande suivante :

set interface vpnt2 mtu 1436

6. Répétez ces étapes pour créer un second tunnel, à l'aide des informations de la section IPSecTunnel #2 du fichier de configuration.

27

Amazon Virtual Private Cloud Network Administrator GuideÉtape 2 : Configurer l'itinéraire statique

Étape 2 : Configurer l'itinéraire statiqueDans cette étape, vous allez spécifier l'itinéraire statique du sous-réseau dans le VPC de chaque tunnelpour vous permettre d'acheminer le trafic via les interfaces de tunnel. Le second tunnel permet lebasculement en cas de problème avec le premier tunnel : si un problème est détecté, l'itinéraire statiquebasé sur la stratégie est supprimé de la table de routage, et le deuxième itinéraire est activé. Vous devezégalement activer la passerelle Check Point pour effectuer un test ping sur l'autre extrémité du tunnel etvérifier que le tunnel est opérationnel.

Pour configurer les itinéraires statiques

1. Dans le portail Gaia, sélectionnez IPv4 Static Routes, Add.2. Spécifiez le CIDR de votre sous-réseau : par exemple, 10.28.13.0/24.3. Choisissez Add Gateway, IP Address.4. Entrez l'adresse IP spécifiée pour VGW Tunnel IP dans le fichier de configuration (par exemple,

169.254.44.233) et spécifiez une priorité égale à 1.5. Sélectionnez Ping.6. Répétez les étapes 3 et 4 pour le second tunnel, à l'aide de la valeur VGW Tunnel IP de la section

IPSec Tunnel #2 du fichier de configuration. Spécifiez une priorité égale à 2.

28

Amazon Virtual Private Cloud Network Administrator GuideÉtape 3 : Créer des objets réseau

7. Sélectionnez Save.

Si vous utilisez un cluster, répétez les étapes ci-dessus pour les autres membres du cluster.

Étape 3 : Créer des objets réseauDans cette étape, vous créez un objet réseau pour chaque tunnel VPN, en spécifiant les adresses IPpubliques (externes) de la passerelle réseau privé virtuel. Par la suite, vous ajoutez ces objets réseau entant que passerelles satellite pour votre communauté VPN. Vous devez également créer un groupe videcomme espace réservé du domaine VPN.

Pour définir un nouvel objet réseau

1. Ouvrez Check Point SmartDashboard.2. Pour Groups, ouvrez le menu contextuel et choisissez Groups, Simple Group. Vous pouvez utiliser le

même groupe pour chaque objet réseau.3. Pour Network Objects, ouvrez le menu contextuel (clic droit) et choisissez New, Interoperable Device.

29


4. Pour Name, entrez le nom que vous avez fourni pour votre tunnel : AWS_VPC_Tunnel_1 ouAWS_VPC_Tunnel_2, par exemple.

5. Pour IPv4 Address, entrez l'adresse IP externe de la passerelle réseau privé virtuel fournie dans lefichier de configuration (54.84.169.196, par exemple). Enregistrez vos paramètres et fermez la boîtede dialogue.

6. Dans SmartDashboard, ouvrez les propriétés de votre passerelle et dans le volet des catégories,sélectionnez Topology.

7. Pour récupérer la configuration de l'interface, choisissez Get Topology.8. Dans la section VPN Domain, choisissez Manually defined, puis accédez au groupe simple vide que

vous avez créé à l'étape 2 et sélectionnez-le. Choisissez OK.Note

Vous pouvez conserver tout domaine VPN existant que vous avez configuré ; cependant,assurez-vous que les hôtes et les réseaux qui sont utilisés ou servis par la nouvelle connexionVPN ne sont pas déclarés dans ce domaine VPN, notamment si le domaine VPN estautomatiquement dérivé.

9. Répétez ces étapes pour créer un second objet réseau, à l'aide des informations de la section IPSecTunnel #2 du fichier de configuration.

Note

Si vous utilisez des clusters, modifiez la topologie et définissez les interfaces comme interfaces decluster. Utilisez les adresses IP spécifiées dans le fichier de configuration.

Étape 4 : Créer une communauté VPN, et configurerIKE et IPsecDans cette étape, vous créez une communauté VPN sur votre passerelle Check Point, à laquelle vousajoutez les objets réseau (périphériques interopérables) de chaque tunnel. Vous configurez également lesparamètres IKE (Internet Key Exchange) et IPsec.

Pour créer et configurer la communauté VPN, et les paramètres IKE et IPsec

1. A partir des propriétés de votre passerelle, choisissez IPSec VPN dans le volet des catégories.

30


2. Choisissez Communities, New, Star Community.3. Entrez un nom pour votre communauté (par exemple, AWS_VPN_Star), puis choisissez Center

Gateways dans le volet des catégories.4. Choisissez Add, puis ajoutez votre passerelle ou cluster à la liste des passerelles participantes.5. Dans le volet des catégories, sélectionnez Satellite Gateways, Add, puis ajoutez les périphériques

interopérables que vous avez créés précédemment (AWS_VPC_Tunnel_1 et AWS_VPC_Tunnel_2) àla liste des passerelles participantes.

6. Dans le volet des catégories, sélectionnez Encryption. Dans la section Encryption Method, choisissezIKEv1 only. Dans la section Encryption Suite, choisissez Custom, Custom Encryption.

7. Dans la boîte de dialogue, configurez les propriétés de chiffrement comme suit, puis sélectionnez OKlorsque vous avez terminé :

• Propriétés IKE Security Association (Phase 1) :• Perform key exchange encryption with : AES-128• Perform data integrity with : SHA1

• Propriétés IPsec Security Association (Phase 2) :• Perform IPsec data encryption with : AES-128• Perform data integrity with : SHA-1

8. Dans le volet des catégories, sélectionnez Tunnel Management. Choisissez Set Permanent Tunnels,On all tunnels in the community. Dans la section VPN Tunnel Sharing, choisissez One VPN tunnel perGateway pair.

9. Dans le volet des catégories, développez Advanced Settings, puis choisissez Shared Secret.10. Sélectionnez le nom d'homologue du premier tunnel, choisissez Edit et entrez la clé prépartagée

comme indiqué dans le fichier de configuration dans la section IPSec Tunnel #1.11. Sélectionnez le nom d'homologue du second tunnel, choisissez Edit et entrez la clé prépartagée

comme indiqué dans le fichier de configuration dans la section IPSec Tunnel #2.

31

Amazon Virtual Private Cloud Network Administrator GuideÉtape 5 : Configurer le pare-feu

12. Toujours dans la catégorie Advanced Settings, choisissez Advanced VPN Properties, configurez lespropriétés comme suit et sélectionnez OK lorsque vous avez terminé :

• IKE (Phase 1) :• Use Diffie-Hellman group : Group 2• Renegotiate IKE security associations every 480 minutes

• IPsec (Phase 2) :• Choisissez Use Perfect Forward Secrecy• Use Diffie-Hellman group : Group 2• Renegotiate IPsec security associations every 3600 seconds

Étape 5 : Configurer le pare-feuDans cette étape, vous configurez une stratégie avec les règles de pare-feu et les règles decorrespondance directionnelle qui autorisent les communications entre le VPC et le réseau local. Puis, vousinstallez la stratégie sur votre passerelle.

Pour créer les règles de pare-feu

1. Dans SmartDashboard, sélectionnez Global Properties pour votre passerelle. Dans le volet descatégories, développez VPN, puis choisissez Advanced.

2. Choisissez Enable VPN Directional Match in VPN Column et enregistrez vos modifications.

32

Amazon Virtual Private Cloud Network Administrator GuideÉtape 6 : Activer la détection d'homologue

mort et la restriction TCP MSS

3. Dans SmartDashboard, sélectionnez Firewall et créez une stratégie avec les règles suivantes :

• Autoriser le sous-réseau VPC à communiquer avec le réseau local via les protocoles requis.• Autoriser le réseau local à communiquer avec le sous-réseau VPC via les protocoles requis.

4. Ouvrez le menu contextuel de la cellule de la colonne VPN, puis choisissez Edit Cell.5. Dans la boîte de dialogue VPN Match Conditions, choisissez Match traffic in this direction only. Créez

les règles de correspondance directionnelle suivantes en choisissant Add pour chaque règle, puis OKlorsque vous avez terminé :

• internal_clear > Communauté VPN (la communauté VPN que vous avez créée plus tôt : parexemple, AWS_VPN_Star)

• Communauté VPN > Communauté VPN• Communauté VPN > internal_clear

6. Dans SmartDashboard, choisissez Policy, Install.7. Dans la boîte de dialogue, sélectionnez votre passerelle, puis choisissez OK pour installer la stratégie.

Étape 6 : Activer la détection d'homologue mort et larestriction TCP MSSVotre passerelle Check Point peut utiliser la détection d'homologue mort (DPD, Dead Peer Detection) poursavoir à quel moment une association IKE est arrêtée.

Pour configurer la DPD pour un tunnel permanent, le tunnel permanent doit être configuré dans lacommunauté AWS VPN (consultez l'étape 8 dans Étape 4 : Créer une communauté VPN, et configurer IKEet IPsec (p. 30)).

Par défaut, la propriété tunnel_keepalive_method pour une passerelle VPN est définie surtunnel_test. Vous devez modifier la valeur sur dpd. Chaque passerelle VPN de la communauté VPNqui nécessite une surveillance DPD doit être configurée avec la propriété tunnel_keepalive_method,notamment n'importe quelle passerelle VPN tierce (vous ne pouvez pas configurer différents mécanismesde surveillance pour la même passerelle).

Vous pouvez mettre à jour la propriété tunnel_keepalive_method en utilisant l'outil GuiDBedit.

Pour modifier la propriété tunnel_keepalive_method

1. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, DomainManagement Server.

2. Choisissez File, Database Revision Control... et créez un instantané de révision.3. Fermez toutes les fenêtres SmartConsole, telles que SmartDashboard, SmartView Tracker et

SmartView Monitor.4. Démarrez l'outil GuiBDedit. Pour plus d'informations, consultez l'article Check Point Database Tool sur

le Centre de support Check Point.5. Choisissez Security Management Server, Domain Management Server.6. Dans le volet supérieur gauche, choisissez Table, Network Objects, network_objects.7. Dans le volet supérieur droit, sélectionnez l'objet Security Gateway, Cluster approprié.8. Appuyez sur CTRL+F, ou utilisez le menu Search pour rechercher ce qui suit :

tunnel_keepalive_method.9. Dans le volet inférieur, ouvrez le menu contextuel pour tunnel_keepalive_method et sélectionnez

Edit.... Choisissez dpd, puis OK.10. Répétez les étapes 7 à 9 pour chaque passerelle faisant partie de la communauté AWS VPN.11. Sélectionnez File, Save As.

33

http://supportcontent.checkpoint.com/solutions?id=sk13009


12. Fermez l'outil GuiDBedit.13. Ouvrez Check Point SmartDashboard et choisissez Security Management Server, Domain

Management Server.14. Installez la stratégie sur l'objet Security Gateway, Cluster approprié.

Pour plus d'informations, consultez l'article Nouvelles fonction VPN dans R77.10 sur le Centre de supportCheck Point.

La restriction TCP MSS réduit la taille de segment maximale des paquets TCP afin d'éviter la fragmentationdes paquets.

Pour activer la restriction TCP MSS

1. Accédez au répertoire suivant : C:\Program Files (x86)\CheckPoint\SmartConsole\R77.10\PROGRAM\.

2. Ouvrez Check Point Database Tool en exécutant le fichier GuiDBEdit.exe.3. Choisissez Table, Global Properties, properties.4. Pour fw_clamp_tcp_mss, choisissez Edit. Remplacez la valeur par true, puis choisissez OK.




1. Veillez à ce que la passerelle client possède une route statique vers votre VPC, comme suggéré dansles modèles de configuration fournis par AWS.

2. Assurez-vous que la route statique a été ajoutée à la connexion VPN, de sorte que le traficpuisse revenir à votre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est198.10.0.0/16, vous devez ajouter une route statique possédant cette plage d'adresses CIDR àvotre connexion VPN. Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.




• Assurez-vous d'avoir configuré le routage pour votre connexion VPN - la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultezla section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.


1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir d'AWS

34




Management Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise enroute.



ping 10.0.0.4





Note



Sur le côté de la passerelle Check Point, vous pouvez vérifier le statut du tunnel en exécutant la commandesuivante à partir de l'outil de ligne de commande en mode expert :

vpn tunnelutil

Dans les options qui s'affichent, sélectionnez 1 pour vérifier les associations IKE et 2 pour vérifier lesassociations IPsec.

Vous pouvez aussi utiliser le journal Check Point Smart Tracker Log pour vérifier que les paquets de laconnexion sont chiffrés. Par exemple, le journal suivant indique qu'un paquet adressé au VPC a été envoyévia le tunnel 1 et qu'il a été chiffré.

35




36

Amazon Virtual Private Cloud Network Administrator GuideUne vue globale de la passerelle client

Exemple : périphérique CiscoASA (Adaptive Security Appliance,dispositif de sécurité adaptatif)

Rubriques• Une vue globale de la passerelle client (p. 37)• Une exemple de configuration (p. 38)• Comment tester la configuration de la passerelle client (p. 42)

Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Cisco ASA fonctionnant avec un logicielCisco ASA 8.2+.

Le schéma montre la disposition générale de la passerelle client. Vous devez utiliser les véritablesinformations de configuration que vous recevez de votre équipe d'intégration et les appliquer à votrepasserelle client.

Une vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. Veuillez noter que laconnexion VPN se compose de deux tunnels séparés. L'utilisation de tunnels redondants garantit unedisponibilité continue en cas de panne d'un périphérique.

37

Amazon Virtual Private Cloud Network Administrator GuideUne exemple de configuration

Veuillez noter que certains systèmes Cisco ASA ne prennent en charge que le mode actif/en veille.Lorsque vous utilisez ces systèmes Cisco ASA, vous ne pouvez avoir qu'un seul tunnel actif à la fois.L'autre tunnel en veille devient actif si le premier tunnel devient inaccessible. Avec cette redondance, l'undes tunnels devrait toujours assurer la connexion à votre VPC.

Une exemple de configurationLa configuration présentée dans cette section est un exemple des informations de configuration que votreéquipe d'intégration doit fournir. L'exemple de configuration contient un ensemble d'informations pourchacun des tunnels que vous devez configurer.

L'exemple de configuration inclut des exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-12345678) et l'ID de passerelle réseau privé virtuel (vgw-12345678), et des espaces réservéspour les points de terminaison AWS (AWS_ENDPOINT_1 et AWS_ENDPOINT_2). Vous devrez remplacerces exemples de valeur avec les valeurs réelles des informations de configuration que vous recevez.

De plus, vous devez :

• Configurer l'interface externe.• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le numéro de séquence de la stratégie de la liste Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Vous assurer que le numéro de supervision du SLA est unique.

38


• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseaulocal.

Important

Les informations de configuration suivantes sont un exemple de ce que vous pouvez attendre devotre équipe d'intégration. Un grand nombre des valeurs dans l'exemple suivant sont différentesdes informations de configuration réelles que vous recevez. Vous devez utiliser les valeurs réelleset non pas les exemples de valeurs présentés ici sinon votre implémentation échoue.

! Amazon Web Services! Virtual Private Cloud!! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway. Only a single tunnel will be up at a! time to the VGW.! ! You may need to populate these values throughout the config based on your setup:! outside_interface - External interface of the ASA! outside_access_in - Inbound ACL on the external interface! amzn_vpn_map - Outside crypto map! vpc_subnet and vpc_subnet_mask - VPC address range! local_subnet and local_subnet_mask - Local subnet address range! sla_monitor_address - Target address that is part of acl-amzn to run SLA monitoring!! --------------------------------------------------------------------------------! IPSec Tunnels! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same or lower number depending on ! the encryption type. If so, we recommend changing the sequence number to ! avoid conflicts and overlap.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!crypto isakmp identity address crypto isakmp enable outside_interfacecrypto isakmp policy 201 encryption aes

39


authentication pre-share group 2 lifetime 28800 hash shaexit!! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group AWS_ENDPOINT_1 type ipsec-l2ltunnel-group AWS_ENDPOINT_1 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit!tunnel-group AWS_ENDPOINT_2 type ipsec-l2ltunnel-group AWS_ENDPOINT_2 ipsec-attributes pre-shared-key password_here!! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! --------------------------------------------------------------------------------! #2: Access List Configuration!! Access lists are configured to permit creation of tunnels and to send applicable traffic over them.! This policy may need to be applied to an inbound ACL on the outside interface that is used to manage control-plane traffic. ! This is to allow VPN traffic into the device from the Amazon endpoints.!access-list outside_access_in extended permit ip host AWS_ENDPOINT_1 host YOUR_UPLINK_ADDRESSaccess-list outside_access_in extended permit ip host AWS_ENDPOINT_2 host YOUR_UPLINK_ADDRESS!! The following access list named acl-amzn specifies all traffic that needs to be routed to the VPC. Traffic will! be encrypted and transmitted through the tunnel to the VPC. Association with the IPSec security association! is done through the "crypto map" command.!! This access list should contain a static route corresponding to your VPC CIDR and allow traffic from any subnet.! If you do not wish to use the "any" source, you must use a single access-list entry for accessing the VPC range.! If you specify more than one entry for this ACL without using "any" as the source, the VPN will function erratically.! The any rule is also used so the security association will include the ASA outside interface where the SLA monitor! traffic will be sourced from.! See section #4 regarding how to restrict the traffic going over the tunnel!!access-list acl-amzn extended permit ip any vpc_subnet vpc_subnet_mask

!---------------------------------------------------------------------------------! #3: IPSec Configuration!

40


! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. !crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac

! The crypto map references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime. The mapping is created! as #1, which may conflict with an existing crypto map using the same! number. If so, we recommend changing the mapping number to avoid conflicts.!crypto map amzn_vpn_map 1 match address acl-amzncrypto map amzn_vpn_map 1 set pfs group2crypto map amzn_vpn_map 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map amzn_vpn_map 1 set transform-set transform-amzncrypto map amzn_vpn_map 1 set security-association lifetime seconds 3600!! Only set this if you do not already have an outside crypto map, and it is not applied:!crypto map amzn_vpn_map interface outside_interface!! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.!! This option instructs the firewall to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear-df outside_interface!! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128!! This option instructs the firewall to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption outside_interface!! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.sysopt connection tcpmss 1379!! In order to keep the tunnel in an active or always up state, the ASA needs to send traffic to the subnet! defined in acl-amzn. SLA monitoring can be configured to send pings to a destination in the subnet and! will keep the tunnel active. This traffic needs to be sent to a target that will return a response.! This can be manually tested by sending a ping to the target from the ASA sourced from the outside interface.! A possible destination for the ping is an instance within the VPC. For redundancy multiple SLA monitors ! can be configured to several instances to protect against a single point of failure.!! The monitor is created as #1, which may conflict with an existing monitor using the same! number. If so, we recommend changing the sequence number to avoid conflicts.!sla monitor 1 type echo protocol ipIcmpEcho sla_monitor_address interface outside_interface frequency 5exit

41


sla monitor schedule 1 life forever start-time now!! The firewall must allow icmp packets to use "sla monitor"icmp permit any outside_interface

!---------------------------------------------------------------------------------! #4: VPN Filter! The VPN Filter will restrict traffic that is permitted through the tunnels. By default all traffic is denied. ! The first entry provides an example to include traffic between your VPC Address space and your office.! You may need to run 'clear crypto isakmp sa', in order for the filter to take effect.!! access-list amzn-filter extended permit ip vpc_subnet vpc_subnet_mask local_subnet local_subnet_maskaccess-list amzn-filter extended deny ip any anygroup-policy filter internalgroup-policy filter attributesvpn-filter value amzn-filtertunnel-group AWS_ENDPOINT_1 general-attributesdefault-group-policy filterexittunnel-group AWS_ENDPOINT_2 general-attributesdefault-group-policy filterexit

!---------------------------------------------------------------------------------------! #5: NAT Exemption! If you are performing NAT on the ASA you will have to add a nat exemption rule.! This varies depending on how NAT is set up. It should be configured along the lines of:! object network obj-SrcNet! subnet 0.0.0.0 0.0.0.0! object network obj-amzn! subnet vpc_subnet vpc_subnet_mask! nat (inside,outside) 1 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn! If using version 8.2 or older, the entry would need to look something like this:! nat (inside) 0 access-list acl-amzn! Or, the same rule in acl-amzn should be included in an existing no nat ACL.


Lorsque vous utilisez Cisco ASA comme passerelle client, un seul tunnel est en état « UP ». Le secondtunnel doit être configuré, mais il ne sera utilisé que si le premier tunnel s'arrête. Le second tunnel ne peutpas être en état « UP » quand le premier tunnel est en état « UP ». Votre console affiche qu'un seul tunnelest en état « up » et montre que le second tunnel est en état « down ». Ce comportement est attendu destunnels de la passerelle client Cisco ASA puisque, en tant que passerelle client, ASA ne prend en chargequ'un seul tunnel en état « up » à la fois.



• Assurez-vous que la route statique a été ajoutée à la connexion VPN, de sorte que le traficpuisse revenir à votre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est198.10.0.0/16, vous devez ajouter une route statique possédant cette plage d'adresses CIDR àvotre connexion VPN. Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.

42







1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontrépertoriées dans l'Assistant de lancement lorsque vous lancez une instance à partir d'AWSManagement Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide de mise enroute.



ping 10.0.0.4





Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientCisco ASA (p. 181).

43





Exemple : Appareil Cisco ASA avecune interface de tunnel virtuelle et leprotocole Border Gateway Protocol

Rubriques• Une vue globale de la passerelle client (p. 44)• Exemple de configuration (p. 45)• Comment tester la configuration de la passerelle client (p. 50)

Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Cisco ASA fonctionnant avec un logicielCisco ASA 9.7.1+.


Les systèmes Cisco ASA version 9.7.1 ou ultérieure prennent en charge le mode actif/actif. Lorsquevous utilisez ces systèmes Cisco ASA, vous pouvez avoir les deux tunnels actifs à la fois. Avec cetteredondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

44

Amazon Virtual Private Cloud Network Administrator GuideExemple de configuration

Exemple de configurationLa configuration présentée dans cette section est un exemple des informations de configuration que votreéquipe d'intégration doit fournir. L'exemple de configuration contient un ensemble d'informations pourchacun des tunnels que vous devez configurer.


En outre, vous devez effectuer les opérations suivantes :

• Configurer l'interface externe.• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.

Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).

45


! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!

crypto ikev1 enable 'outside_interface'

crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-12345678-0 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-0exit

! Additional parameters of the IPSec configuration are set here. Note that! these parameters are global and therefore impact other IPSec! associations.! This option instructs the router to clear the "Don't Fragment"! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented. !!You will need to replace the outside_interface with the interface name of your ASA Firewall.

crypto ipsec df-bit clear-df 'outside_interface'

! This option causes the firewall to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.

sysopt connection tcpmss 1379

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).

46


!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.!tunnel-group 13.54.43.86 type ipsec-l2ltunnel-group 13.54.43.86 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit

! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.

interface Tunnel1 nameif Tunnel-int-vpn-12345678-0 ip address 169.254.33.198 255.255.255.252 tunnel source interface 'outside_interface' tunnel destination 13.54.43.86 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-12345678-0 no shutdownexit

! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!

47


! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.197 remote-as 7224 neighbor 169.254.33.197 timers 10 30 30 neighbor 169.254.33.197 default-originate neighbor 169.254.33.197 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summaryno synchronization exit-address-familyexit!

! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.

48


!crypto ipsec profile ipsec-vpn-12345678-1 set pfs group2 set security-association lifetime seconds 3600 set ikev1 transform-set ipsec-prop-vpn-12345678-1exit






! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!You will need to replace the outside_interface with the interface name of your ASA Firewall.!crypto ipsec fragmentation before-encryption 'outside_interface'

! -------------------------------------------------------------------------


! -------------------------------------------------------------------------! #3: Tunnel Interface Configuration!! A tunnel interface is configured to be the logical interface associated! with the tunnel. All traffic routed to the tunnel interface will be! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!

49


! Association with the IPSec security association is done through the! "tunnel protection" command.!! The address of the interface is configured with the setup for your! Customer Gateway. If the address changes, the Customer Gateway and VPN! Connection must be recreated with Amazon VPC.!!You will need to replace the outside_interface with the interface name of your ASA Firewall.


! -------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration!! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway! will announce the prefix corresponding to your VPC.!! Your Customer Gateway may announce a default route (0.0.0.0/0),! which can be done with the 'network' and 'default-originate' statements.!! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (65343) is configured! as part of your Customer Gateway. If the ASN must be changed, the! Customer Gateway and VPN Connection will need to be recreated with AWS.!router bgp 65343 address-family ipv4 unicast neighbor 169.254.33.193 remote-as 7224 neighbor 169.254.33.193 timers 10 30 30 neighbor 169.254.33.193 default-originate neighbor 169.254.33.193 activate ! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 no auto-summary no synchronization exit-address-familyexit!


Lorsque vous utilisez Cisco ASA comme passerelle client en mode routé, les deux tunnels sont à l'état« UP ».

50




• Assurez-vous que les routes sont publiées correctement avec BGP et apparaissent dans une table deroutage pour que le trafic puisse revenir à votre passerelle client. Par exemple, si le préfixe de votresous-réseau local est 198.10.0.0/16, vous devez le publier via BGP. Assurez-vous que les deuxtunnels sont configurés avec le routage BGP.









ping 10.0.0.4





Note


51







52


Exemple : Appareil Cisco ASA avecune interface de tunnel virtuelle (sansprotocole Border Gateway Protocol)


Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un périphérique Cisco ASA fonctionnant avec un logiciel CiscoASA 9.7.1+ et que vous souhaitez configurer une connexion VPN à routage statique.


53


Les systèmes Cisco ASA version 9.7.1 ou ultérieure prennent en charge le mode actif/actif. Lorsquevous utilisez ces systèmes Cisco ASA, vous pouvez avoir les deux tunnels actifs à la fois. Avec cetteredondance, l'un des tunnels devrait toujours assurer la connexion à votre VPC.

Exemple de configurationLa configuration présentée dans cette section est un exemple des informations de configuration que votreéquipe d'intégration doit fournir. L'exemple de configuration contient un ensemble d'informations pourchacun des tunnels que vous devez configurer.


En outre, vous devez effectuer les opérations suivantes :

• Configurer l'interface externe.• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.

54


• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseaulocal.

Important



! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned an identifier and is! associated with two other identifiers, namely the! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be! configured on your Customer Gateway.!

! -------------------------------------------------------------------------! IPSec Tunnel #1! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 200 encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec

55


! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-0 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------


56




! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-0 10.0.0.0 255.255.0.0 169.254.33.197 100 ! -------------------------------------------------------------------------! IPSec Tunnel #2! -------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address.! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing! the sequence number to avoid conflicts.!


crypto ikev1 policy 201

57


encryption aes authentication pre-share group 2 lifetime 28800 hash sha ! ------------------------------------------------------------------------- ! #2: IPSec Configuration!! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec ikev1 transform-set ipsec-prop-vpn-12345678-1 esp-aes esp-sha-hmac








! -------------------------------------------------------------------------

! The tunnel group sets the Pre Shared Key used to authenticate the ! tunnel endpoints.

58


!tunnel-group 52.65.137.78 type ipsec-l2ltunnel-group 52.65.137.78 ipsec-attributes ikev1 pre-shared-key pre-shared-key!! This option enables IPSec Dead Peer Detection, which causes semi-periodic! messages to be sent to ensure a Security Association remains operational.! isakmp keepalive threshold 10 retry 10exit



! -------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! route Tunnel-int-vpn-12345678-1 10.0.0.0 255.255.0.0 169.254.33.193 200


Lorsque vous utilisez Cisco ASA comme passerelle client en mode routé, les deux tunnels sont à l'état« UP ».


59



• Assurez-vous que la route statique a été ajoutée à la connexion VPN, de sorte que le traficpuisse revenir à votre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est198.10.0.0/16, vous devez ajouter une route statique possédant cette plage d'adresses CIDR àvotre connexion VPN. Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.









ping 10.0.0.4





Note



60






61


Exemple : périphérique CiscoIOS (Adaptive Security Appliance,dispositif de sécurité adaptatif)

Rubriques• Une vue globale de la passerelle client (p. 63)• Une vue détaillée de la passerelle client et un exemple de configuration (p. 64)• Comment tester la configuration de la passerelle client (p. 71)

Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un périphérique IOS Cisco fonctionnant avec un logiciel IOS Cisco12.4 (ou ultérieur).

Deux schémas illustrent l'exemple de configuration. Le premier schéma montre la disposition généralede la passerelle client, et le second schéma illustre des détails de l'exemple de configuration. Vous devezutiliser les véritables informations de configuration que vous recevez de votre équipe d'intégration et lesappliquer à votre passerelle client.

62



63

Amazon Virtual Private Cloud Network Administrator GuideUne vue détaillée de la passerelle

client et un exemple de configuration

Une vue détaillée de la passerelle client et unexemple de configuration

Le section de cette section illustre un exemple de passerelle client IOS Cisco. Le schéma est suivi d'unexemple correspondant aux informations de configuration que l'équipe d'intégration doit fournir. L'exemplede configuration contient un ensemble d'informations pour chacun des tunnels que vous devez configurer.

De plus, l'exemple de configuration fait référence aux éléments que vous devez fournir :

• YOUR_UPLINK_ADDRESS—L'adresse IP de l'interface externe routable par Internet sur la passerelleclient. L'adresse doit être statique et peut se trouver derrière un périphérique exécutant une traductiond'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puisse fonctionner, vous devezajuster vos règles de pare-feu pour débloquer le port UDP 4500.

• YOUR_BGP_ASN—La version du moteur de cache de la passerelle client (nous utilisons 65 000 pardéfaut)

L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-44a8938f), l'ID de passerelle réseau privé virtuel (vgw-8db04f81), les adresses IP (72.21.209.*,169.254.255.*) et l'ASN (Autonomous System Number, numéro de système autonome) à distance (7224).Vous devrez remplacer ces exemples de valeur avec les valeurs réelles des informations de configurationque vous recevez.


• Configurer l'interface externe• Configurer les ID d'interface du tunnel (appelés Tunnel1 et Tunnel2 dans l'exemple de configuration).• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.

Dans le schéma et l'exemple de configuration suivants, vous devez remplacer les éléments en italiquerouge par des valeurs qui s'appliquent à votre configuration en particulier.

64



Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier ! and is associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! -------------------------------------------------------------------------! IPsec Tunnel #1! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

65



! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.225 key plain-text-password1exit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-0 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.225 keyring keyring-vpn-44a8938f-0exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-0exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.

66



! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128

! This option instructs the router to fragment the unencrypted packets! (prior to encryption).!crypto ipsec fragmentation before-encryption

! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.255.2 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.225 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !

67



! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 activate neighbor 169.254.255.1 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.1 remote-as 7224 neighbor 169.254.255.1 timers 10 30 30 neighbor 169.254.255.1 default-originate neighbor 169.254.255.1 activate neighbor 169.254.255.1 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit

! -------------------------------------------------------------------------! IPsec Tunnel #2! -------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS pre-shared-key address 72.21.209.193 key plain-text-password2exit

68



! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-44a8938f-1 local-address YOUR_UPLINK_ADDRESS match identity address 72.21.209.193 keyring keyring-vpn-44a8938f-1exit

! #2: IPsec Configuration! ! The IPsec transform set defines the encryption, authentication, and IPsec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-44a8938f-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPsec profile references the IPsec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-44a8938f-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-44a8938f-1exit

! Additional parameters of the IPsec configuration are set here. Note that ! these parameters are global and therefore impact other IPsec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPsec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPsec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be

69



! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPsec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.255.6 255.255.255.252 ip virtual-reassembly tunnel source YOUR_UPLINK_ADDRESS tunnel destination 72.21.209.193 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-44a8938f-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your Cloud.! ! Your Customer Gateway may announce a default route (0.0.0.0/0), ! which can be done with the 'network' statement and ! 'default-originate' statements. !! The BGP timers are adjusted to provide more rapid detection of outages.!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured! as part of your Customer Gateway. If the ASN must be changed, the ! Customer Gateway and VPN Connection will need to be recreated with AWS.! router bgp YOUR_BGP_ASN neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 activate neighbor 169.254.255.5 timers 10 30 30 address-family ipv4 unicast neighbor 169.254.255.5 remote-as 7224 neighbor 169.254.255.5 timers 10 30 30 neighbor 169.254.255.5 default-originate neighbor 169.254.255.5 activate neighbor 169.254.255.5 soft-reconfiguration inbound! To advertise additional prefixes to Amazon VPC, copy the 'network' statement! and identify the prefix you wish to advertise. Make sure the prefix is present! in the routing table of the device with a valid next-hop. network 0.0.0.0 exitexit

70

















ping 10.0.0.4




71





Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelleclient Cisco IOS (Internetwork Operating System, système d'exploitation pour la connexion desréseaux) (p. 184).

72


Exemple : périphérique Cisco IOS(Internetwork Operating System,système d'exploitation pour laconnexion des réseaux) sans BorderGateway Protocol


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un routeur de services intégrés Cisco fonctionnant avec unlogiciel Cisco IOS.



73




Dans cette section, le schéma illustre un exemple de passerelle client Cisco IOS (sans BGP). Le schémaest suivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vousdevez configurer.

De plus, l'exemple de configuration fait référence à cet élément que vous devez fournir :


L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de la connexionVPN (vpn-1a2b3c4d), l'ID de la passerelle réseau privé virtuel (vgw-12345678f) et les adresses IP(205.251.233.*, 169.254.255.*). Vous devrez remplacer ces exemples de valeur avec les valeurs réellesdes informations de configuration que vous recevez.


• Configurer l'interface externe.• Configurer les ID d'interface du tunnel (appelés Tunnel1 et Tunnel2 dans l'exemple de configuration).

74



• Vous assurer que le numéro de séquence de la stratégie ISAKMP du Crypto est unique.• Vous assurer que le jeu de transformation Crypto IPsec et que la séquence de la stratégie Crypto

ISAKMP sont en accord avec tous les autres tunnels IPsec sur le périphérique.• Vous assurer que le numéro de supervision du SLA est unique.• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.


Warning


! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

75



! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #200, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 200 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-0 local-address CUSTOMER_IP pre-shared-key address 205.251.233.121 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-0 local-address CUSTOMER_IP match identity address 205.251.233.121 keyring keyring-vpn-1a2b3c4d-0exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-0 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-0 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-0exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment" ! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order

76



! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel1 ip address 169.254.249.18 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.121 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-0 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #100, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 100 icmp-echo 169.254.249.17 source-interface Tunnel1 timeout 1000 frequency 5exitip sla schedule 100 life forever start-time nowtrack 100 ip sla 100 reachability ! --------------------------------------------------------------------------------! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption,

77



! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!! Note that there are a global list of ISAKMP policies, each identified by ! sequence number. This policy is defined as #201, which may conflict with! an existing policy using the same number. If so, we recommend changing ! the sequence number to avoid conflicts.!crypto isakmp policy 201 encryption aes 128 authentication pre-share group 2 lifetime 28800 hash shaexit

! The ISAKMP keyring stores the Pre Shared Key used to authenticate the ! tunnel endpoints.!crypto keyring keyring-vpn-1a2b3c4d-1 local-address CUSTOMER_IP pre-shared-key address 205.251.233.122 key PASSWORDexit

! An ISAKMP profile is used to associate the keyring with the particular ! endpoint.!crypto isakmp profile isakmp-vpn-1a2b3c4d-1 local-address CUSTOMER_IP match identity address 205.251.233.122 keyring keyring-vpn-1a2b3c4d-1exit

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!crypto ipsec transform-set ipsec-prop-vpn-1a2b3c4d-1 esp-aes 128 esp-sha-hmac mode tunnelexit

! The IPSec profile references the IPSec transform set and further defines! the Diffie-Hellman group and security association lifetime.!crypto ipsec profile ipsec-vpn-1a2b3c4d-1 set pfs group2 set security-association lifetime seconds 3600 set transform-set ipsec-prop-vpn-1a2b3c4d-1exit

! Additional parameters of the IPSec configuration are set here. Note that ! these parameters are global and therefore impact other IPSec ! associations.! This option instructs the router to clear the "Don't Fragment"

78



! bit from packets that carry this bit and yet must be fragmented, enabling! them to be fragmented.!crypto ipsec df-bit clear

! This option enables IPSec Dead Peer Detection, which causes periodic! messages to be sent to ensure a Security Association remains operational.!crypto isakmp keepalive 10 10 on-demand

! This configures the gateway's window for accepting out of order! IPSec packets. A larger window can be helpful if too many packets ! are dropped due to reordering while in transit between gateways.!crypto ipsec security-association replay window-size 128


! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!interface Tunnel2 ip address 169.254.249.22 255.255.255.252 ip virtual-reassembly tunnel source CUSTOMER_IP tunnel destination 205.251.233.122 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec-vpn-1a2b3c4d-1 ! This option causes the router to reduce the Maximum Segment Size of ! TCP packets to prevent packet fragmentation. ip tcp adjust-mss 1387 no shutdownexit

! ----------------------------------------------------------------------------! #4 Static Route Configuration!! Your Customer Gateway needs to set a static route for the prefix corresponding to your ! VPC to send traffic over the tunnel interface.! An example for a VPC with the prefix 10.0.0.0/16 is provided below:! ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200 !! SLA Monitor is used to provide a failover between the two tunnels. If the primary tunnel fails, the redundant tunnel will automatically be used! This sla is defined as #200, which may conflict with an existing sla using same number. ! If so, we recommend changing the sequence number to avoid conflicts.!ip sla 200 icmp-echo 169.254.249.21 source-interface Tunnel2 timeout 1000

79


frequency 5exitip sla schedule 200 life forever start-time nowtrack 200 ip sla 200 reachability ! --------------------------------------------------------------------------------




1. Veillez à ce que la passerelle client possède une route statique vers votre VPC, comme suggéré dansles modèles de configuration fournis par AWS.

2. Assurez-vous que la route statique a été ajoutée à la connexion VPN, de sorte que le traficpuisse revenir à votre passerelle client. Par exemple, si le préfixe de votre sous-réseau local est198.10.0.0/16, vous devez ajouter une route statique possédant cette plage d'adresses CIDR àvotre connexion VPN. Veillez à ce que les deux tunnels disposent d'une route statique vers votre VPC.









ping 10.0.0.4


Reply from 10.0.0.4: bytes=32 time<1ms TTL=128Reply from 10.0.0.4: bytes=32 time<1ms TTL=128

80





Reply from 10.0.0.4: bytes=32 time<1ms TTL=128



Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientCisco IOS sans connectivité BGP (Border Gateway Protocol) (p. 189).

81


Exemple : dispositif SonicWALLDELL

Cette rubrique présente un exemple de configuration de votre routeur si votre passerelle client est unrouteur SonicWALL Dell.

Cette section suppose qu'une connexion VPN avec un routage statique a été configurée dans la consoleAmazon VPC. Pour plus d'informations, consultez Ajout d'une passerelle réseau privé virtuel à votre VPCdans le Amazon VPC Guide de l'utilisateur.

Rubriques• Une vue globale de la passerelle client (p. 82)• Exemple de fichier de configuration (p. 83)• Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion (p. 86)• Comment tester la configuration de la passerelle client (p. 87)

Une vue globale de la passerelle clientLe schéma suivant illustre les informations générales de votre passerelle client. Notez que la connexionVPN se compose de deux tunnels distincts : Tunnel 1 et Tunnel 2. L'utilisation de tunnels redondantsgarantit une disponibilité continue en cas de panne d'un périphérique.

82

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html

Amazon Virtual Private Cloud Network Administrator GuideExemple de fichier de configuration

Exemple de fichier de configurationLe fichier de configuration que vous téléchargez à partir de la console Amazon VPC comprend les valeursdont vous avez besoin pour utiliser les outils de ligne de commande d'OS 6.2 afin de configurer chaquetunnel et les paramètres IKE et IPsec de votre appareil SonicWALL.

Important

Les informations de configuration suivantes utilisent des exemples de valeurs. Vous devez utiliserles valeurs réelles et pas les exemples de valeurs présentées ici sinon votre implémentationéchoue.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC address range!! IPSec Tunnel !1! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193end!

83


! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120 - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.44.242 netmask 255.255.255.252!!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24

84


neighbor 169.254.44.242 remote-as 7224neighbor 169.254.44.242 timers 10 30neighbor 169.254.44.242 soft-reconfiguration inboundendwriteexitcommitend!! IPSec Tunnel #2! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration! ! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225 end!

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 2, 5, 14-18, 22, 23, and 24.! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows: - DPD Interval : 120

85

Amazon Virtual Private Cloud Network Administrator GuideConfiguration de l'appareil SonicWALL

à l'aide de l'interface de gestion

- DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.44.114 netmask 255.255.255.252!

! #4: Border Gateway Protocol (BGP) Configuration:! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.!! The local BGP Autonomous System Number (ASN) (65000)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!routingbgpconfigure terminal router bgp YOUR_BGP_ASNnetwork <Local_subnet>/24neighbor 169.254.44.114 remote-as 7224neighbor 169.254.44.114 timers 10 30neighbor 169.254.44.114 soft-reconfiguration inboundendwriteexitcommitend

Configuration de l'appareil SonicWALL à l'aide del'interface de gestion

Vous pouvez également configurer le dispositif SonicWALL à l'aide de l'interface de gestion SonicOS.Pour plus d'informations, consultez Configuration de l'appareil SonicWALL à l'aide de l'interface degestion (p. 93).

Vous ne pouvez pas configurer BGP pour le dispositif à l'aide de l'interface de gestion. A la place, utilisezles instructions de ligne de commande fournies dans l'exemple de fichier de configuration ci-dessus, sousla section nommée BGP.

86

















ping 10.0.0.4




87





Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientsur un périphérique générique utilisant un BGP (Border Gateway Protocol) (p. 202).

88


Exemple : appareil SonicOS DellSonicWALL sans Border GatewayProtocol (BGP)

Cette rubrique présente un exemple de la façon de configurer votre routeur si votre passerelle client est unrouteur Dell SonicWALL qui exécute SonicOS 5.9 ou 6.2.

Cette section suppose qu'une connexion VPN avec un routage statique a été configurée dans la consoleAmazon VPC. Pour plus d'informations, consultez Ajout d'une passerelle réseau privé virtuel à votre VPCdans le Amazon VPC Guide de l'utilisateur.

Rubriques• Une vue globale de la passerelle client (p. 89)• Exemple de fichier de configuration (p. 90)• Configuration de l'appareil SonicWALL à l'aide de l'interface de gestion (p. 93)• Comment tester la configuration de la passerelle client (p. 95)


89



Exemple de fichier de configurationLe fichier de configuration que vous téléchargez à partir de la console Amazon VPC comprend les valeursdont vous avez besoin pour utiliser les outils de ligne de commande d'OS 6.2 afin de configurer chaquetunnel et les paramètres IKE et IPsec de votre appareil SonicWALL.

Important

Les informations de configuration suivantes utilisent des exemples de valeurs. Vous devez utiliserles valeurs réelles et pas les exemples de valeurs présentées ici sinon votre implémentationéchoue.

! Amazon Web Services! Virtual Private Cloud!! VPN Connection Configuration! ================================================================================! AWS utilizes unique identifiers to manipulate the configuration of! a VPN Connection. Each VPN Connection is assigned a VPN Connection Identifier! and is associated with two other identifiers, namely the! Customer Gateway Identifier and the Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-ff628496

90


! ! This configuration consists of two tunnels. Both tunnels must be ! configured on your customer gateway.!! This configuration was tested on a SonicWALL TZ 600 running OS 6.2.5.1-26n!! You may need to populate these values throughout the config based on your setup:! <vpc_subnet> - VPC IP address range! ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-1gateway primary 72.21.209.193bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.193 end

! #2: IPSec Configuration! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enablecommit end !! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.

! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3

91


! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T1ip-assignment VPN staticip 169.254.255.6 netmask 255.255.255.252exit!! ! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T1 metric 1 source any destination name AWSVPC service any gateway 169.254.255.5! IPSec Tunnel !2 ================================================================================

! #1: Internet Key Exchange (IKE) Configuration! ! These sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You can modify these sample configuration files to use AES128, SHA1, AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!configaddress-object ipv4 AWSVPC network 172.30.0.0/16vpn policy tunnel-interface vpn-44a8938f-2gateway primary 72.21.209.225bound-to interface X1auth-method shared-secret shared-secret PRE-SHARED-KEY-IN-PLAIN-TEXTike-id local ip your_customer_gateway_IP_address ike-id peer ip 72.21.209.225end!

! #2: IPSec Configuration

92



! ! The IPSec (Phase 2) proposal defines the protocol, authentication, ! encryption, and lifetime parameters for our IPSec security association.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.!configproposal ipsec lifetime 3600proposal ipsec authentication sha1proposal ipsec encryption aes128 proposal ipsec perfect-forward-secrecy dh-group 2proposal ipsec protocol ESPkeep-alive enable commit end!! You can use other supported IPSec parameters for encryption such as AES256, and other DH groups such as 1,2, 5, 14-18, 22, 23, and 24.!! IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. We! recommend configuring DPD on your endpoint as follows:! - DPD Interval : 120! - DPD Retries : 3! To configure Dead Peer Detection for the SonicWall device, use the SonicOS management interface.!

! #3: Tunnel Interface Configuration! ! The tunnel interface is configured with the internal IP address.!! To establish connectivity between your internal network and the VPC, you! must have an interface facing your internal network in the "Trust" zone.!!configtunnel-interface vpn T2ip-assignment VPN staticip 169.254.255.2 netmask 255.255.255.252!! #4 Static Route Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa! This example policy permits all traffic from the local subnet to the VPC through the tunnel interface.!!policy interface T2 metric 1 source any destination name AWSVPC service any gateway 169.254.255.1

Configuration de l'appareil SonicWALL à l'aide del'interface de gestion

La procédure suivante montre comment configurer les tunnels VPN sur l'appareil SonicWALL à l'aide del'interface de gestion SonicOS. Vous devez remplacer les exemples de valeurs dans les procédures par lesvaleurs fournies dans le fichier de configuration.

93



Pour configurer les tunnels

1. Ouvrez l'interface de gestion SonicOS SonicWALL.2. Dans le volet de gauche, sélectionnez VPN, Settings. Sous VPN Policies, choisissez Add....3. Dans la fenêtre de stratégie VPN de l'onglet General , renseignez les informations suivantes :

• Policy Type : choisissez Site to Site.• Authentication Method : choisissez IKE using Preshared Secret.• Name : entrez un nom pour la stratégie VPN. Nous vous recommandons d'utiliser le nom de l'ID de

VPN, tel que fourni dans le fichier de configuration.• IPsec Primary Gateway Name or Address : entrez l'adresse IP de la passerelle réseau privé

virtuel (point de terminaison AWS) telle que fournie dans le fichier de configuration ; par exemple,72.21.209.193.

• IPsec Secondary Gateway Name or Address : laissez la valeur par défaut.• Shared Secret : entrez la clé pré-partagée, telle que fournie dans le fichier de configuration, puis

entrez-la à nouveau dans Confirm Shared Secret.• Local IKE ID : entrez l'adresse IPv4 de la passerelle client (l'appareil SonicWALL).• Peer IKE ID : entrez l'adresse IPv4 de la passerelle réseau privé virtuel (point de terminaison AWS).

4. Dans l'onglet Network, renseignez les informations suivantes :

• Sous Local Networks, choisissez Any address. Nous recommandons cette option afin d'éviter desproblèmes de connectivité à partir de votre réseau local.

• Sous Remote Networks, choisissez Choose a destination network from list. Créez un objet d'adresseavec le CIDR de votre VPC dans AWS.

5. Dans l'onglet Proposals, renseignez les informations suivantes.

• Sous IKE (Phase 1) Proposal, procédez comme suit :• Exchange : choisissez Main Mode.• DH Group : entrez une valeur pour le groupe Diffie-Hellman ; par exemple, 2.• Encryption : choisissez AES-128 ou AES-256.• Authentication : choisissez SHA1 ou SHA256.• Life Time : entrez 28800.

• Sous IKE (Phase 2) Proposal, procédez comme suit :• Protocol : choisissez ESP.• Encryption : choisissez AES-128 ou AES-256.• Authentication : choisissez SHA1 ou SHA256.• Cochez la case Enable Perfect Forward Secrecy, puis choisissez le groupe Diffie-Hellman.• Life Time : entrez 3600.

Important

Si vous avez créé votre passerelle réseau privé virtuel avant octobre 2015, vous devezspécifier Diffie-Hellman group 2, AES-128 et SHA1 pour les deux phases.

6. Dans l'onglet Advanced, renseignez les informations suivantes :

• Sélectionnez Enable Keep Alive.• Sélectionnez Enable Phase2 Dead Peer Detection et entrez les informations suivantes :

• Pour Dead Peer Detection Interval, entrez 60 (c'est le minimum que l'appareil SonicWALLaccepte).

• Pour Failure Trigger Level, entrez 3. 94


• Pour VPN Policy bound to, sélectionnez Interface X1. C'est l'interface qui est généralement désignéepour les adresses IP publiques.

7. Sélectionnez OK. Sur la page Settings, la case Enable pour le tunnel doit être cochée par défaut. Unpoint vert indique que le tunnel fonctionne.


Vous devez d'abord tester la configuration de la passerelle pour chaque tunnel.


• Sur votre passerelle client, vérifiez que vous avez ajouté une route statique à l'espace d'adresses IPdu CIDR VPC pour l'utilisation de l'interface tunnel.




• Assurez-vous d'avoir configuré le routage pour votre connexion VPN ; la table de routage de votre sous-réseau doit contenir une route vers la passerelle réseau privé virtuel. Pour plus d'informations, consultezla section Autorisation de la propagation du routage dans votre table de routage dans le manuel AmazonVPC Guide de l'utilisateur.


1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontdisponibles dans le menu Quick Start lorsque vous utilisez l'assistant Lancer des instances dans laAWS Management Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide demise en route.


3. Sur un système de votre réseau domestique, utilisez la commande ping avec l'adresse IP de l'instance.Vérifiez que l'ordinateur depuis lequel vous effectuez le test ping se trouve derrière la passerelle client.Une réponse positive doit être semblable à ce qui suit:

ping 10.0.0.4




Approximate round trip times in milliseconds:

95





Minimum = 0ms, Maximum = 0ms, Average = 0ms

Note

Si vous effectuez un test ping d'une instance depuis votre routeur de passerelle client, veillez à ceque les messages ping proviennent d'une adresse IP interne, et non d'une adresse IP de tunnel.Certaines AMI ne répondent pas aux messages ping envoyés depuis des adresses IP de tunnels.


96


Exemple : Périphérique FortinetFortigate


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Fortinet Fortigate 40+.

Deux schémas illustrent l'exemple de configuration. Le premier schéma montre la disposition généralede la passerelle client, et le second schéma illustre les détails de l'exemple de configuration. Vous devezutiliser les véritables informations de configuration que vous recevez de votre équipe d'intégration et lesappliquer à votre passerelle client.

97




Dans cette section, le schéma illustre un exemple de passerelle client Fortinet. Le schéma est suivi d'unexemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.


• YOUR_UPLINK_ADDRESS—Spécifiez l'adresse IP pour l'interface externe routable sur Internet de lapasserelle client (l'adresse doit être statique et peut se trouver derrière un périphérique exécutant uneNAT (Network Address Translation, traduction d'adresses réseau)).


L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-44a8938f), l'ID de passerelle réseau privé virtuel (vgw-8db04f81), les adresses IP (72.21.209.*,169.254.255.*) et l'ASN (Autonomous System Number, numéro de système autonome) à distance (7224).

98



Vous devrez remplacer ces exemples de valeur avec les valeurs réelles des informations de configurationque vous recevez.


Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.!

99



! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2. ! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. ! ! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-0 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.193 set psksecret plain-text-password1 set dpd-retryinterval 10 nextend

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.!! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

config vpn ipsec phase2-interface edit "vpn-44a8938f-0"

100



set phase1name "vpn-44a8938f-0" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-0" set vdom "root" set ip 169.254.255.2 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.1 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor

101



edit 169.254.255.1 set remote-as 7224 end

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.1 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

102



config firewall policyedit 5set srcintf "vpn-44a8938f-0"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-0" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.!! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). ! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. !! Configuration begins in root VDOM.config vpn ipsec phase1-interfaceedit vpn-44a8938f-1 ! Name must be shorter than 15 chars, best if shorter than 12 set interface "wan1"

! The IPSec Dead Peer Detection causes periodic messages to be ! sent to ensure a Security Association remains operational

set dpd enable set local-gw YOUR_UPLINK_ADDRESS set dhgrp 2 set proposal aes128-sha1 set keylife 28800 set remote-gw 72.21.209.225 set psksecret plain-text-password2 set dpd-retryinterval 10 nextend

103




config vpn ipsec phase2-interface edit "vpn-44a8938f-1" set phase1name "vpn-44a8938f-1" set proposal aes128-sha1 set dhgrp 2 set keylifeseconds 3600 next

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

config system interface edit "vpn-44a8938f-1" set vdom "root" set ip 169.254.255.6 255.255.255.255 set allowaccess ping set type tunnel

! This option causes the router to reduce the Maximum Segment Size of! TCP packets to prevent packet fragmentation.! set tcp-mss 1387 set remote-ip 169.254.255.5 set mtu 1427 set interface "wan1" next

! --------------------------------------------------------------------------------

! #4: Border Gateway Protocol (BGP) Configuration! ! BGP is used within the tunnel to exchange prefixes between the

104



! Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway ! will announce the prefix corresponding to your VPC.! !!! The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN)! is configured as part of your Customer Gateway. If the ASN must ! be changed, the Customer Gateway and VPN Connection will need to be recreated with AWS.!

config router bgp set as YOUR_BGP_ASN config neighbor edit 169.254.255.5 set remote-as 7224 end

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us. ! This is done using prefix list and route-map in Fortigate.

config router bgp config neighbor edit 169.254.255.5 set capability-default-originate enable end end

config router prefix-list edit "default_route" config rule edit 1 set prefix 0.0.0.0 0.0.0.0 next end set router-id YOUR_UPLINK_ADDRESSend

config router route-map edit "routemap1" config rule edit 1 set match-ip-address "default_route" next end nextend

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'network' ! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following:

config router bgpconfig network edit 1 set prefix 192.168.0.0 255.255.0.0 nextendset router-id YOUR_UPLINK_ADDRESSend

105


!! --------------------------------------------------------------------------------! #5 Firewall Policy Configuration!! Create a firewall policy permitting traffic from your local subnet to the VPC subnet and vice versa!! This example policy permits all traffic from the local subnet to the VPC! First, find the policies that exist

show firewall policy

! Next, create a new firewall policy starting with the next available policy ID. If policies 1, 2, 3, and 4 were shown, then in this example the policy created starts 5

config firewall policyedit 5set srcintf "vpn-44a8938f-1"set dstintf internal set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

config firewall policyedit 5set srcintf internalset dstintf "vpn-44a8938f-1" set srcaddr all set dstaddr allset action acceptset schedule always set service ANYnextend

! --------------------------------------------------------------------------------







Une fois correctement établi, votre appairage BGP devrait recevoir une route provenant de la passerelleréseau privée virtuelle et correspondant au préfixe que votre équipe d'intégration VPC a spécifié pour leVPC (par exemple, 10.0.0.0/24). Si l'appairage BGP est instauré, si vous recevez un préfixe et si vous

106


publiez un préfixe, alors votre tunnel est configuré correctement. Assurez-vous que les deux tunnels sontdans cet état.









ping 10.0.0.4





Note



107




Exemple : dispositif J-Series JunOSRubriques

• Une vue globale de la passerelle client (p. 109)• Une vue détaillée de la passerelle client et un exemple de configuration (p. 110)• Comment tester la configuration de la passerelle client (p. 116)

Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un routeur Juniper J-Series exécutant le logiciel JunOS 9.5 (ouultérieur).


108



109




Dans cette section, le schéma illustre un exemple de passerelle client Juniper JunOS. Le schéma est suivid'un exemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.






• Configurer l'interface externe (appelée ge-0/0/0.0 dans l'exemple de configuration).• Configurer les ID d'interface du tunnel (appelés st0.1 et st0.2 dans l'exemple de configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.• Identifiez la zone de sécurité pour l'interface de liaison montante (les informations de configuration ci-

après utilisent la zone « untrust » par défaut).• Identifiez la zone de sécurité pour l'interface interne (les informations de configuration ci-après utilisent la

zone « trust » par défaut).


110



Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

111



# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2

# An IKE policy is established to associate a Pre Shared Key with the # defined proposal.#set security ike policy ike-pol-vpn-44a8938f-1 mode main set security ike policy ike-pol-vpn-44a8938f-1 proposals ike-prop-vpn-44a8938f-0set security ike policy ike-pol-vpn-44a8938f-1 pre-shared-key ascii-text plain-text-password1

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-0set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225

# Troubleshooting IKE connectivity can be aided by enabling IKE tracing.# The configuration below will cause the router to log IKE messages to# the 'kmd' log. Run 'show messages kmd' to retrieve these logs.# set security ike traceoptions file kmd# set security ike traceoptions file size 1024768# set security ike traceoptions file files 10# set security ike traceoptions flag all

# #2: IPsec Configuration## The IPsec proposal defines the protocol, authentication, encryption, and# lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. #set security ipsec proposal ipsec-prop-vpn-44a8938f-1 protocol espset security ipsec proposal ipsec-prop-vpn-44a8938f-1 authentication-algorithm hmac-sha1-96set security ipsec proposal ipsec-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ipsec proposal ipsec-prop-vpn-44a8938f-1 lifetime-seconds 3600

# The IPsec policy incorporates the Diffie-Hellman group and the IPsec# proposal.#set security ipsec policy ipsec-pol-vpn-44a8938f-1 perfect-forward-secrecy keys group2set security ipsec policy ipsec-pol-vpn-44a8938f-1 proposals ipsec-prop-vpn-44a8938f-0

112



# A security association is defined here. The IPsec Policy and IKE gateways# are associated with a tunnel interface (st0.1).# The tunnel interface ID is assumed; if other tunnels are defined on# your router, you will need to specify a unique interface name # (for example, st0.10).#set security ipsec vpn vpn-44a8938f-1 bind-interface st0.1set security ipsec vpn vpn-44a8938f-1 ike gateway gw-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 ike ipsec-policy ipsec-pol-vpn-44a8938f-0set security ipsec vpn vpn-44a8938f-1 df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic# messages to be sent to ensure a Security Association remains operational.#set security ike gateway gw-vpn-44a8938f-1 dead-peer-detection

# #3: Tunnel Interface Configuration#

# The tunnel interface is configured with the internal IP address.#set interfaces st0.1 family inet address 169.254.255.2/30set interfaces st0.1 family inet mtu 1436set security zones security-zone trust interfaces st0.1

# The security zone protecting external interfaces of the router must be # configured to allow IKE traffic inbound.#set security zones security-zone untrust host-inbound-traffic system-services ike

# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp

# This option causes the router to reduce the Maximum Segment Size of# TCP packets to prevent packet fragmentation.#set security flow tcp-mss ipsec-vpn mss 1387

# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the

113



# Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject

set protocols bgp group ebgp type external

set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193

114











# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#

115


set security zones security-zone trust host-inbound-traffic protocols bgp


# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN







116











ping 10.0.0.4





Note



117




Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientJuniper JunOS (p. 193).

118


Exemple : dispositif JunOS SRXJuniper


Dans cette section, vous trouverez un exemple des informations de configuration proposées par l'équiped'intégration si votre passerelle client est un routeur SRX Juniper exécutant le logiciel JunOS 11.0 (ouultérieur).


119



120




Dans cette section, le schéma illustre un exemple de passerelle client Juniper JunOS 11.0+. Le schémaest suivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vousdevez configurer.






• Configurer l'interface externe (appelée ge-0/0/0.0 dans l'exemple de configuration).• Configurer les ID d'interface du tunnel (appelés st0.1 et st0.2 dans l'exemple de configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.• Identifiez la zone de sécurité pour l'interface de liaison montante (les informations de configuration ci-

après utilisent la zone « untrust » par défaut).• Identifiez la zone de sécurité pour l'interface interne (les informations de configuration ci-après utilisent la

zone « trust » par défaut).


121



Warning


# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of # a VPN Connection. Each VPN Connection is assigned a VPN Connection # Identifier and is associated with two other identifiers, namely the # Customer Gateway Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway.## -------------------------------------------------------------------------# IPsec Tunnel #1# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.

122



# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-1 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-1 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-1 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-1 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-1 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must # be recreated.set security ike gateway gw-vpn-44a8938f-1 ike-policy ike-pol-vpn-44a8938f-1set security ike gateway gw-vpn-44a8938f-1 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-1 address 72.21.209.225set security ike gateway gw-vpn-44a8938f-1 no-nat-traversal




123








# The security zone protecting internal interfaces (including the logical # tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp


# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured

124



# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.1 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.1 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.1 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.1 local-as YOUR_BGP_ASN # -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, # authentication, Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set security ike proposal ike-prop-vpn-44a8938f-2 authentication-method pre-shared-keys set security ike proposal ike-prop-vpn-44a8938f-2 authentication-algorithm sha1set security ike proposal ike-prop-vpn-44a8938f-2 encryption-algorithm aes-128-cbcset security ike proposal ike-prop-vpn-44a8938f-2 lifetime-seconds 28800set security ike proposal ike-prop-vpn-44a8938f-2 dh-group group2


# The IKE gateway is defined to be the Virtual Private Gateway. The gateway # configuration associates a local interface, remote IP address, and# IKE policy.## This example shows the outside of the tunnel as interface ge-0/0/0.0.# This should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.## If the address changes, the Customer Gateway and VPN Connection must be recreated.#set security ike gateway gw-vpn-44a8938f-2 ike-policy ike-pol-vpn-44a8938f-2set security ike gateway gw-vpn-44a8938f-2 external-interface ge-0/0/0.0set security ike gateway gw-vpn-44a8938f-2 address 72.21.209.193

125



set security ike gateway gw-vpn-44a8938f-2 no-nat-traversal









# The security zone protecting internal interfaces (including the logical

126


# tunnel interfaces) must be configured to allow BGP traffic inbound.#set security zones security-zone trust host-inbound-traffic protocols bgp


# #4: Border Gateway Protocol (BGP) Configuration# # BGP is used within the tunnel to exchange prefixes between the# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC.# # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the EXPORT-DEFAULT policy.## To advertise additional prefixes to Amazon VPC, add additional prefixes to the "default" term# EXPORT-DEFAULT policy. Make sure the prefix is present in the routing table of the device with # a valid next-hop.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS.## We establish a basic route policy to export a default route to the# Virtual Private Gateway. #set policy-options policy-statement EXPORT-DEFAULT term default from route-filter 0.0.0.0/0 exact set policy-options policy-statement EXPORT-DEFAULT term default then accept set policy-options policy-statement EXPORT-DEFAULT term reject then reject


set protocols bgp group ebgp neighbor 169.254.255.5 export EXPORT-DEFAULT set protocols bgp group ebgp neighbor 169.254.255.5 peer-as 7224set protocols bgp group ebgp neighbor 169.254.255.5 hold-time 30set protocols bgp group ebgp neighbor 169.254.255.5 local-as YOUR_BGP_ASN







127











ping 10.0.0.4





Note



128




Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientJuniper JunOS (p. 193).

129


Exemple : dispositif JuniperScreenOS


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un dispositif a Juniper SSG ou Netscreen series exécutantle logiciel Juniper ScreenOS.


130



131




Dans cette section, le schéma illustre un exemple de passerelle client Juniper ScreenOS. Le schéma estsuivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient des informations pour chacun des tunnels que vous devezconfigurer.






• Configurer l'interface externe (appelée ethernet0/0 dans l'exemple de configuration).• Configurer les ID d'interface du tunnel (appelés tunnel.1 et tunnel.2 dans l'exemple de

configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.


132



Warning

Les informations de configuration suivantes sont un exemple de ce que vous pouvez attendre devotre équipe d'intégration. Un grand nombre des valeurs dans l'exemple ci-après sont différentesdes informations de configuration que vous recevez. Vous devez utiliser les valeurs réelles et nonpas les exemples de valeurs présentés ici sinon votre implémentation échoue.Important

La configuration ci-dessous est appropriée pour ScreenOS versions 6.2 et ultérieures. Vouspouvez télécharger une configuration qui est spécifique à ScreenOS version 6.1. Dans la boîtede dialogue Download Configuration, sélectionnez Juniper Networks, Inc. dans la listeVendor, SSG and ISG Series Routers dans la liste Platform, et ScreenOS 6.1 dans la listeSoftware.

# Amazon Web Services# Virtual Private Cloud## AWS utilizes unique identifiers to manipulate the configuration of a VPN # Connection. Each VPN Connection is assigned a VPN Connection Identifier# and is associated with two other identifiers, namely the Customer Gateway# Identifier and the Virtual Private Gateway Identifier.## Your VPN Connection ID : vpn-44a8938f# Your Virtual Private Gateway ID : vgw-8db04f81# Your Customer Gateway ID : cgw-b4dc3961## This configuration consists of two tunnels. Both tunnels must be configured# on your Customer Gateway.## This configuration was tested on a Juniper SSG-5 running ScreenOS 6.3R2.## --------------------------------------------------------------------------------# IPsec Tunnel #1# --------------------------------------------------------------------------------

133



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.## Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#set ike p1-proposal ike-prop-vpn-44a8938f-1 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.# This address is configured with the setup for your Customer Gateway.##If the address changes, the Customer Gateway and VPN Connection must be recreated.#

set ike gateway gw-vpn-44a8938f-1 address 72.21.209.225 id 72.21.209.225 main outgoing-interface ethernet0/0 preshare "plain-text-password1" proposal ike-prop-vpn-44a8938f-1

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-1 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-1 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-1 gateway gw-vpn-44a8938f-1 replay tunnel proposal ipsec-prop-vpn-44a8938f-1

# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.

134



## To establish connectivity between your internal network and the VPC, you# must have an interface facing your internal network in the "Trust" zone.#

set interface tunnel.1 zone Trustset interface tunnel.1 ip 169.254.255.2/30set interface tunnel.1 mtu 1436set vpn IPSEC-vpn-44a8938f-1 bind interface tunnel.1

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.#

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0). ## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop.

set enableset neighbor 169.254.255.1 remote-as 7224set neighbor 169.254.255.1 enableexitexitset interface tunnel.1 protocol bgp

# -------------------------------------------------------------------------# IPsec Tunnel #2# -------------------------------------------------------------------------

135



# #1: Internet Key Exchange (IKE) Configuration## A proposal is established for the supported IKE encryption, authentication,# Diffie-Hellman, and lifetime parameters.# Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.# The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#

set ike p1-proposal ike-prop-vpn-44a8938f-2 preshare group2 esp aes128 sha-1 second 28800

# The IKE gateway is defined to be the Virtual Private Gateway. The gateway configuration# associates a local interface, remote IP address, and IKE policy.## This example shows the outside of the tunnel as interface ethernet0/0. This# should be set to the interface that IP address YOUR_UPLINK_ADDRESS is# associated with.## This address is configured with the setup for your Customer Gateway. If the# address changes, the Customer Gateway and VPN Connection must be recreated.#set ike gateway gw-vpn-44a8938f-2 address 72.21.209.193 id 72.21.209.193 main outgoing-interface ethernet0/0 preshare "plain-text-password2" proposal ike-prop-vpn-44a8938f-2

# Troubleshooting IKE connectivity can be aided by enabling IKE debugging.# To do so, run the following commands:# clear dbuf -- Clear debug buffer# debug ike all -- Enable IKE debugging# get dbuf stream -- View debug messages# undebug all -- Turn off debugging

# #2: IPsec Configuration## The IPsec (Phase 2) proposal defines the protocol, authentication,# encryption, and lifetime parameters for our IPsec security association.# Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.#

set ike p2-proposal ipsec-prop-vpn-44a8938f-2 group2 esp aes128 sha-1 second 3600set ike gateway gw-vpn-44a8938f-2 dpd-liveness interval 10set vpn IPSEC-vpn-44a8938f-2 gateway gw-vpn-44a8938f-2 replay tunnel proposal ipsec-prop-vpn-44a8938f-2

# #3: Tunnel Interface Configuration## The tunnel interface is configured with the internal IP address.## To establish connectivity between your internal network and the VPC, you

136


# must have an interface facing your internal network in the "Trust" zone.

set interface tunnel.2 zone Trustset interface tunnel.2 ip 169.254.255.6/30set interface tunnel.2 mtu 1436set vpn IPSEC-vpn-44a8938f-2 bind interface tunnel.2

# By default, the router will block asymmetric VPN traffic, which may occur# with this VPN Connection. This occurs, for example, when routing policies# cause traffic to sent from your router to VPC through one IPsec tunnel# while traffic returns from VPC through the other.## This command allows this traffic to be received by your device.

set zone Trust asymmetric-vpn

# This option causes the router to reduce the Maximum Segment Size of TCP# packets to prevent packet fragmentation.

set flow vpn-tcp-mss 1387

# #4: Border Gateway Protocol (BGP) Configuration## BGP is used within the tunnel to exchange prefixes between the Virtual Private Gateway# and your Customer Gateway. The Virtual Private Gateway will announce the prefix # corresponding to your VPC.## Your Customer Gateway may announce a default route (0.0.0.0/0).## The BGP timers are adjusted to provide more rapid detection of outages.## The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured# as part of your Customer Gateway. If the ASN must be changed, the# Customer Gateway and VPN Connection will need to be recreated with AWS.#

set vrouter trust-vrset max-ecmp-routes 2set protocol bgp YOUR_BGP_ASNset hold-time 30set network 0.0.0.0/0# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise (set ipv4 network X.X.X.X/X). Make sure the # prefix is present in the routing table of the device with a valid next-hop. set enableset neighbor 169.254.255.5 remote-as 7224set neighbor 169.254.255.5 enableexitexitset interface tunnel.2 protocol bgp



137















ping 10.0.0.4





138




Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientJuniper ScreenOS (p. 196).

139


Exemple : appareil Netgate PfSensesans protocole de passerelle frontière(BGP)


Cette rubrique présente un exemple de la façon de configurer votre routeur si votre passerelle client est unpare-feu Netgate pfSense qui exécute OS 2.2.5 ou version ultérieure.

Cette rubrique suppose que vous avez configuré une connexion VPN avec un routage statique dans laconsole Amazon VPC. Pour plus d'informations, consultez Ajout d'une passerelle réseau privé virtuelHardware à votre VPC dans le Amazon VPC Guide de l'utilisateur.


Vous devez utiliser les véritables informations de configuration que vous recevez de votre équiped'intégration et les appliquer à votre passerelle client.

140




Exemple de configurationL'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-12345678), l'ID de passerelle réseau privé virtuel (vgw-12345678) et des espaces réservés pourles points de terminaison AWS (AWS_ENDPOINT_1 et AWS_ENDPOINT_2).

Dans l'exemple de configuration suivant, vous devez remplacer les éléments en italique rouge par desvaleurs qui s'appliquent à votre configuration en particulier.

Important

Les informations de configuration suivantes sont un exemple de ce que vous pouvez espérerqu'une équipe d'intégration vous fournisse. Un grand nombre des valeurs dans l'exemple suivantsont différentes des informations de configuration réelles que vous recevez. Vous devez utiliserles valeurs réelles et non pas les exemples de valeurs présentés ici sinon votre implémentationéchoue.


! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the

141


! Customer Gateway Identifier and Virtual Private Gateway Identifier.!! Your VPN Connection ID : vpn-12345678! Your Virtual Private Gateway ID : vgw-12345678! Your Customer Gateway ID : cgw-12345678!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway for redundancy.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_1 f. Description: Amazon-IKE-vpn-12345678-0 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password1 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration!

142


! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-0 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.

! --------------------------------------------------------------------------------

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, authentication, Diffie-Hellman, lifetime, ! and key parameters.The IKE peer is configured with the supported IKE encryption, authentication, Diffie-Hellman, lifetime, and key ! parameters.Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH ! groups like 2, 14-18, 22, 23, and 24. The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT). To ! ensure that NAT traversal (NAT-T) can function, you must adjust your firewall ! rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!!Go to VPN-->IPSec. Add a new Phase1 entry (click + button )

General information a. Disabled : uncheck b. Key Exchange version :V1 c. Internet Protocol : IPv4 d. Interface : WAN e. Remote Gateway: AWS_ENPOINT_2 f. Description: Amazon-IKE-vpn-12345678-1 Phase 1 proposal (Authentication) a. Authentication Method: Mutual PSK b. Negotiation mode : Main c. My identifier : My IP address

143


d. Peer identifier : Peer IP address e. Pre-Shared Key: plain-text-password2 Phase 1 proposal (Algorithms) a. Encryption algorithm : aes128 b. Hash algorithm : sha1 c. DH key group : 2 d. Lifetime : 28800 seconds Advanced Options a. Disable Rekey : uncheck b. Responder Only : uncheck c. NAT Traversal : Auto d. Deed Peer Detection : Enable DPD Delay between requesting peer acknowledgement : 10 seconds Number of consecutive failures allowed before disconnect : 3 retries

! #2: IPSec Configuration! ! The IPSec transform set defines the encryption, authentication, and IPSec! mode parameters.! Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.

Expand the VPN configuration clicking in "+" and then create a new Phase2 entry as follows:

a. Disabled :uncheck b. Mode : Tunnel c. Local Network : Type: LAN subnet Address : ! Enter your local network CIDR in the Address tab d. Remote Network : Type : Network Address : ! Enter your remote network CIDR in the Address tab e. Description : Amazon-IPSec-vpn-12345678-1 Phase 2 proposal (SA/Key Exchange) a. Protocol : ESP b. Encryption algorigthms :aes128 c. Hash algorithms : sha1 d. PFS key group : 2e. Lifetime : 3600 seconds

Advanced Options

Automatically ping host : ! Provide the IP address of an EC2 instance in VPC that will respond to ICMP.




• Dans la console Amazon VPC assurez-vous qu'une route statique a été ajoutée à la connexion VPN,de sorte que le trafic puisse revenir à votre passerelle client. Par exemple, si le préfixe de votresous-réseau local est 198.10.0.0/16, vous devez ajouter une route statique possédant cette plaged'adresses CIDR à votre connexion VPN. Veillez à ce que les deux tunnels disposent d'une routestatique vers votre VPC.

144







1. Lancez une instance à partir d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linuxsont disponibles dans le menu Quick Start lorsque vous utilisez l'assistant de lancement d'instancedans la console Amazon EC2. Pour plus d'informations, consultez Lancement d'une instance dans leAmazon EC2 Guide de l'utilisateur pour les instances Linux.



ping 10.0.0.4





Note



145


http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/launching-instance.html


Exemple : périphérique réseau PaloAlto


Dans cette section, vous trouverez un exemple des informations de configuration proposées par votreéquipe d'intégration si votre passerelle client est un périphérique Palo Alto Networks PANOS 4.1.2+.


146




Dans cette section, le schéma illustre un exemple de passerelle client Palo Alto. Le schéma est suivid'un exemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.


• YOUR_UPLINK_ADDRESS—L'adresse IP de l'interface externe routable par Internet sur la passerelleclient (qui doit être statique et peut se trouver derrière un périphérique en train d'effectuer une traductiond'adresses réseau (NAT) ; NAT-T (NAT traversal) n'est cependant pas pris en charge).


L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-44a8938f), l'ID de passerelle réseau privé virtuel (vgw-8db04f81), les adresses IP (72.21.209.*,169.254.255.*) et l'ASN (Autonomous System Number, numéro de système autonome) à distance (7224).

147



Vous devrez remplacer ces exemples de valeur avec les valeurs réelles des informations de configurationque vous recevez.


Warning



! AWS utilizes unique identifiers to manipulate the configuration of ! a VPN Connection. Each VPN Connection is assigned an identifier and is ! associated with two other identifiers, namely the ! Customer Gateway Identifier and Virtual Private Gateway Identifier.

148



!! Your VPN Connection ID : vpn-44a8938f! Your Virtual Private Gateway ID : vgw-8db04f81! Your Customer Gateway ID : cgw-b4dc3961!!! This configuration consists of two tunnels. Both tunnels must be ! configured on your Customer Gateway.!! --------------------------------------------------------------------------------! IPSec Tunnel #1! --------------------------------------------------------------------------------

! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-0 set dh-group group2 set hash sha1 set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-0 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-44a8938f-0 exchange-mode main set authentication pre-shared-key key plain-text-password1 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.193 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-0 set esp authentication sha1 set esp encryption aes128

149



set dh-group group2 lifetime seconds 3600 top

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.5/30 set units tunnel.1 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-1 set auto-key ike-gateway ike-vpn-44a8938f-0 set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-0 set tunnel-interface tunnel.1 set anti-replay yes

! --------------------------------------------------------------------------------


edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP

150



edit peer amazon-tunnel-44a8938f-0 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.5/30 set local-address interface tunnel.1 set peer-as 7224 set peer-address ip 169.254.255.2 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.

edit network virtual-router default protocol bgp policy set export rules vr-export action allow set match address-prefix 0.0.0.0/0 exact yes set used-by AmazonBGP enable yes top

! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

! --------------------------------------------------------------------------------! IPSec Tunnel #2! --------------------------------------------------------------------------------! #1: Internet Key Exchange (IKE) Configuration!! A policy is established for the supported ISAKMP encryption, ! authentication, Diffie-Hellman, lifetime, and key parameters.! Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.! You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.! The address of the external interface for your customer gateway must be a static address. ! Your customer gateway may reside behind a device performing network address translation (NAT).! To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.!

configure edit network ike crypto-profiles ike-crypto-profiles ike-crypto-vpn-44a8938f-1 set dh-group group2 set hash sha1

151



set lifetime seconds 28800 set encryption aes128 top

edit network ike gateway ike-vpn-44a8938f-1 set protocol ikev1 dpd interval 10 retry 3 enable yes set protocol ikev1 ike-crypto-profile ike-crypto-vpn-35a6445c-1 exchange-mode main set authentication pre-shared-key key plain-text-password2 set local-address ip YOUR_UPLINK_ADDRESS set local-address interface ethernet1/1 set peer-address ip 72.21.209.225 top


edit network ike crypto-profiles ipsec-crypto-profiles ipsec-vpn-44a8938f-1 set esp authentication sha1 set esp encryption aes128 set dh-group group2 lifetime seconds 3600 top

! --------------------------------------------------------------------------------! #3: Tunnel Interface Configuration! ! A tunnel interface is configured to be the logical interface associated ! with the tunnel. All traffic routed to the tunnel interface will be ! encrypted and transmitted to the VPC. Similarly, traffic from the VPC! will be logically received on this interface.!! Association with the IPSec security association is done through the ! "tunnel protection" command.!! The address of the interface is configured with the setup for your ! Customer Gateway. If the address changes, the Customer Gateway and VPN ! Connection must be recreated with Amazon VPC.!

edit network interface tunnel set ip 169.254.255.1/30 set units tunnel.2 set mtu 1427 top

edit network tunnel ipsec ipsec-tunnel-2 set auto-key ike-gateway ike-vpn-44a8938f-1

152



set auto-key ipsec-crypto-profile ipsec-vpn-44a8938f-1 set tunnel-interface tunnel.2 set anti-replay yes


edit network virtual-router default protocol bgp set enable yes set router-id YOUR_UPLINK_ADDRESS set local-as YOUR_BGP_ASN edit peer-group AmazonBGP edit peer amazon-tunnel-44a8938f-1 set connection-options keep-alive-interval 10 set connection-options hold-time 30 set enable yes set local-address ip 169.254.255.1/30 set local-address interface tunnel.2 set peer-as 7224 set peer-address ip 169.254.255.6.113 top

! Your Customer Gateway may announce a default route (0.0.0.0/0) to us.


! To advertise additional prefixes to Amazon VPC, add these prefixes to the 'address-prefix'! statement and identify the prefix you wish to advertise. Make sure the prefix is present ! in the routing table of the device with a valid next-hop. If you want to advertise ! 192.168.0.0/16 to Amazon, this can be done using the following.


!

153

















ping 10.0.0.4




154





Note



155


Exemple : périphérique YamahaRubriques

• Une vue globale de la passerelle client (p. 157)• Une vue détaillée de la passerelle client et un exemple de configuration (p. 157)• Comment tester la configuration de la passerelle client (p. 163)

Dans cette section, vous trouverez un exemple des informations de configuration fournies par votre équiped'intégration si votre passerelle client est un routeur Yamaha RT107e, RTX1200, RTX1210, RTX1500,RTX3000 ou SRT100.


156




Dans cette section, le schéma illustre un exemple de passerelle client Yamaha. Le schéma est suivi d'unexemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.



• YOUR_LOCAL_NETWORK_ADDRESS—L'adresse IP attribuée à l'interface LAN connectée à votre réseaulocal (le plus probablement, une adresse privée telle que 192.168.0.1)


L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexion

157



VPN (vpn-44a8938f), l'ID de passerelle réseau privé virtuel (vgw-8db04f81), les adresses IP (72.21.209.*,169.254.255.*) et l'ASN (Autonomous System Number, numéro de système autonome) à distance (7224).Vous devrez remplacer ces exemples de valeur avec les valeurs réelles des informations de configurationque vous recevez.

De plus, vous devez également :

• Configurer l'interface externe (appelée LAN3 dans l'exemple de configuration).• Configurer les ID d'interface du tunnel (appelés Tunnel #1 et Tunnel #2 dans l'exemple de

configuration).• Configurer tous les routages internes qui acheminent le trafic entre la passerelle client et votre réseau

local.


Warning


# Amazon Web Services # Virtual Private Cloud # AWS utilizes unique identifiers to manage the configuration of # a VPN Connection. Each VPN Connection is assigned an identifier and is # associated with two other identifiers, namely the # Customer Gateway Identifier and Virtual Private Gateway Identifier. # # Your VPN Connection ID : vpn-44a8938f # Your Virtual Private Gateway ID : vgw-8db04f81 # Your Customer Gateway ID : cgw-b4dc3961 #

158



# # This configuration consists of two tunnels. Both tunnels must be # configured on your Customer Gateway. # # -------------------------------------------------------------------------------- # IPsec Tunnel #1 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall !rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 1 ipsec ike encryption 1 aes-cbc ipsec ike group 1 modp1024 ipsec ike hash 1 sha # This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 1 text plain-text-password1

# #2: IPsec Configuration # The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPSec policies, each identified by # sequence number. This policy is defined as #201, which may conflict with# an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.# ipsec tunnel 201 ipsec sa policy 201 1 esp aes-cbc sha-hmac # The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime. ipsec ike duration ipsec-sa 1 3600 ipsec ike pfs 1 on # Additional parameters of the IPsec configuration are set here. Note that

159



# these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear # This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational. ipsec ike keepalive use 1 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 1 YOUR_LOCAL_NETWORK_ADDRESS ipsec ike remote address 1 72.21.209.225 ip tunnel address 169.254.255.2/30 ip tunnel remote address 169.254.255.1 # This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation ip tunnel tcp mss limit 1387tunnel enable 1tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the # Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.# # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASN

160



bgp neighbor 1 7224 169.254.255.1 hold-time=30 local-address=169.254.255.2

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

# -------------------------------------------------------------------------------- # IPsec Tunnel #2 # --------------------------------------------------------------------------------

# #1: Internet Key Exchange (IKE) Configuration # # A policy is established for the supported ISAKMP encryption, # authentication, Diffie-Hellman, lifetime, and key parameters. # # Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.# You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24. # The address of the external interface for your customer gateway must be a static address. # Your customer gateway may reside behind a device performing network address translation (NAT).# To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.#tunnel select 2 ipsec ike encryption 2 aes-cbc ipsec ike group 2 modp1024 ipsec ike hash 2 sha

# This line stores the Pre Shared Key used to authenticate the # tunnel endpoints.# ipsec ike pre-shared-key 2 text plain-text-password2

# #2: IPsec Configuration

# The IPsec policy defines the encryption, authentication, and IPsec # mode parameters. # Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.## Note that there are a global list of IPsec policies, each identified by # sequence number. This policy is defined as #202, which may conflict with # an existing policy using the same number. If so, we recommend changing # the sequence number to avoid conflicts.

161



#

ipsec tunnel 202ipsec sa policy 202 2 esp aes-cbc sha-hmac

# The IPsec profile references the IPsec policy and further defines # the Diffie-Hellman group and security association lifetime.

ipsec ike duration ipsec-sa 2 3600ipsec ike pfs 2 on

# Additional parameters of the IPsec configuration are set here. Note that # these parameters are global and therefore impact other IPsec # associations. # This option instructs the router to clear the "Don't Fragment" # bit from packets that carry this bit and yet must be fragmented, enabling # them to be fragmented. # ipsec tunnel outer df-bit clear

# This option enables IPsec Dead Peer Detection, which causes periodic # messages to be sent to ensure a Security Association remains operational.

ipsec ike keepalive use 2 on dpd 10 3

# -------------------------------------------------------------------------------- # #3: Tunnel Interface Configuration # # A tunnel interface is configured to be the logical interface associated # with the tunnel. All traffic routed to the tunnel interface will be # encrypted and transmitted to the VPC. Similarly, traffic from the VPC # will be logically received on this interface. # # Association with the IPsec security association is done through the # "tunnel protection" command. # # The address of the interface is configured with the setup for your # Customer Gateway. If the address changes, the Customer Gateway and VPN # Connection must be recreated with Amazon VPC. # ipsec ike local address 2 YOUR_LOCAL_NETWORK_ADDRESSipsec ike remote address 2 72.21.209.193 ip tunnel address 169.254.255.6/30 ip tunnel remote address 169.254.255.5

# This option causes the router to reduce the Maximum Segment Size of # TCP packets to prevent packet fragmentation

ip tunnel tcp mss limit 1387tunnel enable 2tunnel select noneipsec auto refresh on

# -------------------------------------------------------------------------------- # #4: Border Gateway Protocol (BGP) Configuration # # BGP is used within the tunnel to exchange prefixes between the

162


# Virtual Private Gateway and your Customer Gateway. The Virtual Private Gateway # will announce the prefix corresponding to your VPC. # # Your Customer Gateway may announce a default route (0.0.0.0/0), # which can be done with the 'network' and 'default-originate' statements.## # The BGP timers are adjusted to provide more rapid detection of outages. # # The local BGP Autonomous System Number (ASN) (YOUR_BGP_ASN) is configured # as part of your Customer Gateway. If the ASN must be changed, the # Customer Gateway and VPN Connection will need to be recreated with AWS. # bgp use onbgp autonomous-system YOUR_BGP_ASNbgp neighbor 2 7224 169.254.255.5 hold-time=30 local-address=169.254.255.6

# To advertise additional prefixes to Amazon VPC, copy the 'network' statement and # identify the prefix you wish to advertise. Make sure the # prefix is present in the routing table of the device with a valid next-hop.# For example, the following two lines will advertise 192.168.0.0/16 and 10.0.0.0/16 to Amazon VPC## bgp import filter 1 equal 10.0.0.0/16# bgp import filter 1 equal 192.168.0.0/16#

bgp import filter 1 equal 0.0.0.0/0bgp import 7224 static filter 1

bgp configure refresh










163








ping 10.0.0.4





Note



Si le test de vos tunnels échoue, consultez Résolution des problèmes de connectivité de la passerelle clientYamaha (p. 199).

164




Exemple : passerelle client génériqueutilisant un BGP (Border GatewayProtocol)


Si votre passerelle client n'est pas l'un des modèles précédemment mentionnés dans ce guide, votreéquipe d'intégration doit vous fournir des informations génériques que vous pouvez utiliser pour configurervotre passerelle client. Cette section contient un exemple de ces informations.


165




Dans cette section, le schéma illustre un exemple de passerelle client générique. Le schéma est suivid'un exemple correspondant aux informations de configuration que votre équipe d'intégration doit fournir.L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vous devezconfigurer.




L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de connexionVPN (vpn-44a8938f), l'ID de passerelle réseau privé virtuel (vgw-8db04f81), les adresses IP (72.21.209.*,

166



169.254.255.*) et l'ASN (Autonomous System Number, numéro de système autonome) à distance (7224).Vous devrez remplacer ces exemples de valeur avec les valeurs réelles des informations de configurationque vous recevez.


Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration===============================================AWS utilizes unique identifiers to manipulate the configuration of a VPN Connection. Each VPN Connection is assigned a VPN identifier and is associated with two other identifiers, namely the Customer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-b4dc3961

A VPN Connection consists of a pair of IPsec tunnel security associations (SAs). It is important that both tunnel security associations be configured.

IPsec Tunnel #1================================================

#1: Internet Key Exchange Configuration

Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.

167



The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password1- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption

#3: Tunnel Interface Configuration

Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.

The Customer Gateway outside IP address was provided when the Customer Gatewaywas created. Changing the IP address requires the creation of a newCustomer Gateway.

The Customer Gateway inside IP address should be configured on your tunnelinterface.

Outside IP Addresses:

168



- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.2/30- Virtual Private Gateway : 169.254.255.1/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

#4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224- Neighbor IP Address : 169.254.255.1- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.

IPsec Tunnel #2=====================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T.- IKE version : IKEv1- Authentication Method : Pre-Shared Key - Pre-Shared Key : plain-text-password2- Authentication Algorithm : sha1- Encryption Algorithm : aes-128-cbc- Lifetime : 28800 seconds- Phase 1 Negotiation Mode : main- Diffie-Hellman : Group 2

#2: IPsec Configuration

Configure the IPsec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24.- Protocol : esp

169



- Authentication Algorithm : hmac-sha1-96- Encryption Algorithm : aes-128-cbc- Lifetime : 3600 seconds- Mode : tunnel- Perfect Forward Secrecy : Diffie-Hellman Group 2

IPsec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows:- DPD Interval : 10- DPD Retries : 3

IPsec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space, which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the following configuration on your Customer Gateway:- TCP MSS Adjustment : 1387 bytes- Clear Don't Fragment Bit : enabled- Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPsec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPsec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses:- Customer Gateway: : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses- Customer Gateway : 169.254.255.6/30- Virtual Private Gateway : 169.254.255.5/30

Configure your tunnel to fragment at the optimal size:- Tunnel interface MTU : 1436 bytes

" #4: Border Gateway Protocol (BGP) Configuration:

The Border Gateway Protocol (BGPv4) is used within the tunnel, between the insideIP addresses, to exchange routes from the VPC to your home network. EachBGP router has an Autonomous System Number (ASN). Your ASN was provided to AWS when the Customer Gateway was created.

BGP Configuration Options:- Customer Gateway ASN : YOUR_BGP_ASN - Virtual Private Gateway ASN : 7224

170


- Neighbor IP Address : 169.254.255.5- Neighbor Hold Time : 30

Configure BGP to announce routes to the Virtual Private Gateway. The gatewaywill announce prefixes to your customer gateway based upon the prefix you assigned to the VPC at creation time.
















ping 10.0.0.4

171








Note




172


Exemple : passerelle client génériquesans BGP (Border Gateway Protocol)


Si votre passerelle client n'est pas l'un des modèles précédemment mentionnés dans ce guide, votreéquipe d'intégration doit vous fournir des informations génériques que vous pouvez utiliser pour configurervotre passerelle client. Cette section contient un exemple de ces informations.


173




Dans cette section, le schéma illustre un exemple de passerelle client générique (sans BGP). Le schémaest suivi d'un exemple correspondant aux informations de configuration que votre équipe d'intégration doitfournir. L'exemple de configuration contient un ensemble d'informations pour chacun des tunnels que vousdevez configurer.

Le schéma de cette section illustre une passerelle client générique qui utilise le routage statique poursa connexion VPN (ce qui signifie qu'elle ne prend pas en charge le routage dynamique ou le protocoleBGP (Border Gateway Protocol)). Le schéma est suivi d'un exemple correspondant aux informations deconfiguration que l'équipe d'intégration doit vous fournir. L'exemple de configuration contient un ensembled'informations pour chacun des deux tunnels que vous devez configurer.

De plus, l'exemple de configuration fait référence à un élément que vous devez fournir :

174




L'exemple de configuration inclut plusieurs exemples de valeur pour vous aider à comprendre comment laconfiguration fonctionne. Par exemple, nous fournissons des exemples de valeur pour l'ID de la connexionVPN (vpn-44a8938f), l'ID de la passerelle réseau privé virtuel (vgw-8db04f81) et les adresses IP de lapasserelle (72.21.209.*, 169.254.255.*). Vous devrez remplacer ces exemples de valeur avec les valeursréelles des informations de configuration que vous recevez.


Important

Les informations de configuration suivantes sont un exemple de ce que vous pouvez espérerqu'une équipe d'intégration vous fournisse. Un grand nombre des valeurs dans l'exemple suivantsont différentes des informations de configuration réelles que vous recevez. Vous devez utiliserles valeurs réelles et non pas les exemples de valeurs présentés ici sinon votre implémentationéchoue.

Amazon Web ServicesVirtual Private Cloud

VPN Connection Configuration================================================================================AWS utilizes unique identifiers to manipulate the configuration ofa VPN Connection. Each VPN Connection is assigned a VPN Connection Identifierand is associated with two other identifiers, namely theCustomer Gateway Identifier and the Virtual Private Gateway Identifier.

Your VPN Connection ID : vpn-44a8938fYour Virtual Private Gateway ID : vgw-8db04f81Your Customer Gateway ID : cgw-ff628496

175



A VPN Connection consists of a pair of IPSec tunnel security associations (SAs).It is important that both tunnel security associations be configured.

IPSec Tunnel #1================================================================================


Configure the IKE SA as followsPlease note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main - Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that is

176



associated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.193

Inside IP Addresses - Customer Gateway : 169.254.255.74/30 - Virtual Private Gateway : 169.254.255.73/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.73

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.

IPSec Tunnel #2 ================================================================================


Configure the IKE SA as follows:Please note, these sample configurations are for the minimum requirement of AES128, SHA1, and DH Group 2.You will need to modify these sample configuration files to take advantage of AES256, SHA256, or other DH groups like 2, 14-18, 22, 23, and 24.The address of the external interface for your customer gateway must be a static address. Your customer gateway may reside behind a device performing network address translation (NAT).To ensure that NAT traversal (NAT-T) can function, you must adjust your firewall rules to unblock UDP port 4500. If not behind NAT, we recommend disabling NAT-T. - IKE version : IKEv1 - Authentication Method : Pre-Shared Key - Pre-Shared Key : PRE-SHARED-KEY-IN-PLAIN-TEXT - Authentication Algorithm : sha1 - Encryption Algorithm : aes-128-cbc - Lifetime : 28800 seconds - Phase 1 Negotiation Mode : main

177



- Diffie-Hellman : Group 2

#2: IPSec Configuration

Configure the IPSec SA as follows:Please note, you may use these additionally supported IPSec parameters for encryption like AES256 and other DH groups like 2, 5, 14-18, 22, 23, and 24. - Protocol : esp - Authentication Algorithm : hmac-sha1-96 - Encryption Algorithm : aes-128-cbc - Lifetime : 3600 seconds - Mode : tunnel - Perfect Forward Secrecy : Diffie-Hellman Group 2

IPSec Dead Peer Detection (DPD) will be enabled on the AWS Endpoint. Werecommend configuring DPD on your endpoint as follows: - DPD Interval : 10 - DPD Retries : 3

IPSec ESP (Encapsulating Security Payload) inserts additionalheaders to transmit packets. These headers require additional space,which reduces the amount of space available to transmit application data.To limit the impact of this behavior, we recommend the followingconfiguration on your Customer Gateway: - TCP MSS Adjustment : 1387 bytes - Clear Don't Fragment Bit : enabled - Fragmentation : Before encryption


Your Customer Gateway must be configured with a tunnel interface that isassociated with the IPSec tunnel. All traffic transmitted to the tunnelinterface is encrypted and transmitted to the Virtual Private Gateway.

The Customer Gateway and Virtual Private Gateway each have two addresses that relateto this IPSec tunnel. Each contains an outside address, upon which encryptedtraffic is exchanged. Each also contain an inside address associated withthe tunnel interface.



Outside IP Addresses: - Customer Gateway : YOUR_UPLINK_ADDRESS - Virtual Private Gateway : 72.21.209.225

Inside IP Addresses - Customer Gateway : 169.254.255.78/30 - Virtual Private Gateway : 169.254.255.77/30

Configure your tunnel to fragment at the optimal size: - Tunnel interface MTU : 1436 bytes #4: Static Routing Configuration:

178


To route traffic between your internal network and your VPC,you will need a static route added to your router.

Static Route Configuration Options:

- Next hop : 169.254.255.77

You should add static routes towards your internal network on the VGW.The VGW will then send traffic towards your internal network overthe tunnels.




• Sur votre passerelle client, vérifiez que vous avez ajouté une route statique à l'espace d'adresses IPdu CIDR VPC pour l'utilisation de l'interface tunnel.






1. Lancez une instance d'une des AMI Amazon Linux dans votre VPC. Les AMI Amazon Linux sontdisponibles dans le menu Quick Start lorsque vous utilisez l'assistant de lancement des instances dansAWS Management Console. Pour plus d'informations, consultez le manuel Amazon VPC Guide demise en route.



PROMPT> ping 10.0.0.4Pinging 10.0.0.4 with 32 bytes of data:


179







Note

Si vous effectuez un test ping d'une instance depuis votre routeur de passerelle client, veillez à ceque les messages ping proviennent d'une adresse IP interne, et non d'une adresse IP de tunnel.Certaines AMI ne répondent pas aux messages ping envoyés depuis des adresses IP de tunnels.


180

Amazon Virtual Private Cloud Network Administrator GuideConnectivité de la passerelle client Cisco ASA

DépannageLes rubriques suivantes contiennent des informations de dépannage que vous pouvez utiliser si vostunnels ne sont pas dans l'état approprié quand vous testez votre passerelle client.

Rubriques• Résolution des problèmes de connectivité de la passerelle client Cisco ASA (p. 181)• Résolution des problèmes de connectivité de la passerelle client Cisco IOS (Internetwork Operating

System, système d'exploitation pour la connexion des réseaux) (p. 184)• Résolution des problèmes de connectivité de la passerelle client Cisco IOS sans connectivité BGP

(Border Gateway Protocol) (p. 189)• Résolution des problèmes de connectivité de la passerelle client Juniper JunOS (p. 193)• Résolution des problèmes de connectivité de la passerelle client Juniper ScreenOS (p. 196)• Résolution des problèmes de connectivité de la passerelle client Yamaha (p. 199)• Résolution des problèmes de connectivité de la passerelle client sur un périphérique générique utilisant

un BGP (Border Gateway Protocol) (p. 202)• Résolution des problèmes de connectivité de la passerelle client sur un périphérique générique sans

connectivité BGP (Border Gateway Protocol) (p. 205)

Résolution des problèmes de connectivité de lapasserelle client Cisco ASA

Quand vous résolvez des problèmes de connectivité d'une passerelle client Cisco, vous devez prendreen compte trois critères : l'IKE (Internet Key Exchange), l'IPsec (Internet Protocol Security) et le routage.Vous pouvez résoudre des problèmes dans ces domaines dans n'importe quel ordre mais nous vousrecommandons de commencer avec l'IKE (en bas du stack réseau) et de remonter.

Important

Certains systèmes Cisco ASA ne prennent en charge que le mode actif/en veille. Lorsquevous utilisez ces systèmes Cisco ASA, vous ne pouvez avoir qu'un seul tunnel actif à la fois.L'autre tunnel en veille devient actif uniquement si le premier tunnel devient inaccessible. Letunnel en veille peut générer l'erreur suivante dans vos fichiers journaux, qui peut être ignorée :Rejecting IPSec tunnel: no matching crypto map entry for remote proxy0.0.0.0/0.0.0.0/0/0 local proxy 0.0.0.0/0.0.0.0/0/0 on interface outside

IKEUtilisez la commande suivante. La réponse montre une passerelle client avec un IKE configurécorrectement.

ciscoasa# show crypto isakmp sa

Active SA: 2 Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)Total IKE SA: 2

1 IKE Peer: AWS_ENDPOINT_1 Type : L2L Role : initiator

181

Amazon Virtual Private Cloud Network Administrator GuideIPsec

Rekey : no State : MM_ACTIVE

Vous devez voir une ou plusieurs lignes contenant un src de la passerelle à distance spécifiée dans lestunnels. L'état doit être MM_ACTIVE et le statut doit être ACTIVE. L'absence d'une entrée, ou toute entréedans un état différent, indique que l'IKE n'est pas correctement configuré.

Pour un dépannage plus approfondi, exécutez les commandes suivantes pour permettre la consignationdes messages qui apportent des informations de diagnostic.

router# term monrouter# debug crypto isakmp

Pour désactiver le débogage, utilisez la commande suivante.

router# no debug crypto isakmp

IPsecUtilisez la commande suivante. La réponse montre une passerelle client avec un IPsec configurécorrectement.

ciscoasa# show crypto ipsec sa

interface: outside Crypto map tag: VPN_crypto_map_name, seq num: 2, local addr: 172.25.50.101

access-list integ-ppe-loopback extended permit ip any vpc_subnet subnet_mask local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (vpc_subnet/subnet_mask/0/0) current_peer: integ-ppe1

#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts comp failed: 0, #pkts decomp failed: 0 #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0 #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0 #send errors: 0, #recv errors: 0

local crypto endpt.: 172.25.50.101, remote crypto endpt.: AWS_ENDPOINT_1

path mtu 1500, ipsec overhead 74, media mtu 1500 current outbound spi: 6D9F8D3B current inbound spi : 48B456A6

inbound esp sas: spi: 0x48B456A6 (1219778214) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, } slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001 outbound esp sas: spi: 0x6D9F8D3B (1839172923) transform: esp-aes esp-sha-hmac no compression in use settings ={L2L, Tunnel, PFS Group 2, }

182

Amazon Virtual Private Cloud Network Administrator GuideRoutage

slot: 0, conn_id: 4710400, crypto-map: VPN_cry_map_1 sa timing: remaining key lifetime (kB/sec): (4374000/3593) IV size: 16 bytes replay detection support: Y Anti replay bitmap: 0x00000000 0x00000001

Pour chaque interface du tunnel, vous devez voir à la fois un ESP SAS entrant et un ESP SAS sortant.Ceci présume qu'une SA (Security Association, association de sécurité) est répertoriée (par exemple, spi :0x48B456A6), et que l'IPsec est correctement configuré.

Dans Cisco ASA, l'IPsec interviendra uniquement une fois le « trafic intéressant » envoyé. Pour toujoursgarder l'IPsec actif, nous vous recommandons de configurer le moniteur SLA. Le moniteur SLA continued'envoyer le trafic intéressant en gardant l'IPsec actif.

Vous pouvez aussi utiliser la commande ping suivante pour forcer votre IPsec à démarrer les négociationset remonter.

ping ec2_instance_ip_address

Pinging ec2_instance_ip_address with 32 bytes of data:

Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128Reply from ec2_instance_ip_address: bytes=32 time<1ms TTL=128



Pour un dépannage plus approfondi, exécutez les commandes suivantes pour activer le débogage.

router# debug crypto ipsec


router# no debug crypto ipsec

RoutageEffectuez un test ping sur l'autre entrée du tunnel. Si cela fonctionne, alors votre IPsec doit êtreopérationnel et s'exécuter correctement. Si cela ne fonctionne pas, vérifiez vos listes d'accès et consultezla section IPsec précédente.

Si vous ne pouvez pas atteindre vos instances, vérifiez les points suivants :

1. Vérifiez que la liste d'accès est configurée pour autoriser le trafic associé à la carte crypto.

Vous pouvez le faire à l'aide de la commande suivante :

ciscoasa# show run crypto

crypto ipsec transform-set transform-amzn esp-aes esp-sha-hmaccrypto map VPN_crypto_map_name 1 match address access-list-name

183

Amazon Virtual Private Cloud Network Administrator GuideConnectivité de la passerelle client Cisco IOS

crypto map VPN_crypto_map_name 1 set pfscrypto map VPN_crypto_map_name 1 set peer AWS_ENDPOINT_1 AWS_ENDPOINT_2crypto map VPN_crypto_map_name 1 set transform-set transform-amzncrypto map VPN_crypto_map_name 1 set security-association lifetime seconds 3600

2. Ensuite, vérifiez la liste comme suit.

ciscoasa# show run access-list access-list-name

access-list access-list-name extended permit ip any vpc_subnet subnet_mask

Exemples :

access-list access-list-name extended permit ip any 10.0.0.0 255.255.0.0

3. Vérifiez que cette liste d'accès est correcte. L'exemple de liste d'accès dans l'étape précédenteautorise tout le trafic interne vers le sous-réseau VPC 10.0.0.0/16.

4. Exécutez un traceroute depuis le périphérique Cisco ASA pour voir s'il atteint les routeurs Amazon (parexemple, AWS_ENDPOINT_1/AWS_ENDPOINT_2).

S'il atteint le routeur Amazon, alors vérifiez les routes statiques que vous avez ajoutées à la consoleAmazon, et également les groupes de sécurité pour les instances spécifiques.

5. Pour un dépannage plus approfondi, passez en revue la configuration.

Résolution des problèmes de connectivité de lapasserelle client Cisco IOS (Internetwork OperatingSystem, système d'exploitation pour la connexiondes réseaux)

Quand vous résolvez des problèmes de connectivité d'une passerelle client Cisco, vous devez prendre encompte quatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmes dans cesdomaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas dustack réseau) et de remonter.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status192.168.37.160 72.21.209.193 QM_IDLE 2001 0 ACTIVE192.168.37.160 72.21.209.225 QM_IDLE 2002 0 ACTIVE

Vous devez voir une ou plusieurs lignes contenant un src de la passerelle à distance spécifiée dans lestunnels. L'état doit être QM_IDLE et le statut doit être ACTIVE. L'absence d'une entrée, ou toute entréedans un état différent, indique que l'IKE n'est pas correctement configuré.

184







router# show crypto ipsec sa

interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 192.168.37.160

protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.225 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

185


outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.: 72.21.209.193 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Pour chaque interface du tunnel, vous devez voir à la fois un ESP SAS entrant et un ESP SAS sortant. Ensupposant qu'une SA est répertoriée (par exemple, spi : 0xF95D2F3C) et que le statut est ACTIVE, l'IPsecest correctement configuré.



Utilisez la commande suivante pour désactiver le débogage.


186

Amazon Virtual Private Cloud Network Administrator GuideTunnel

TunnelTout d'abord, vérifiez que les règles de pare-feu nécessaires sont instaurées. Pour une liste des règles,consultez Configuration d'un pare-feu entre Internet et votre passerelle client (p. 11).

Si vos règles de pare-feu sont correctement configurées, alors continuez le dépannage avec la commandesuivante.

router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.255.2/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 72.21.209.225 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Vérifiez que le protocole de ligne est opérationnel. Vérifiez que l'adresse IP source du tunnel, l'interfacesource et la destination correspondent respectivement à la configuration du tunnel pour l'adresse IPexterne de la passerelle client, pour l'interface et pour l'adresse IP externe de la passerelle réseau privévirtuel. Vérifiez que la protection du tunnel via l'IPSec est présente. Assurez-vous d'exécuter la commandesur les deux interfaces du tunnel. Pour résoudre tout problème se présentant ici, passez en revue laconfiguration.

Utilisez également la commande suivante, en remplaçant 169.254.255.1 par l'adresse IP interne devotre passerelle réseau privé virtuel.

router# ping 169.254.255.1 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.255.1, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Vous devez voir 5 points d'exclamation.

Pour un dépannage plus approfondi, passez en revue la configuration.

BGPUtilisez la commande suivante.

187

Amazon Virtual Private Cloud Network Administrator GuideAttachement de la passerelle réseau privé virtuel

router# show ip bgp summary

BGP router identifier 192.168.37.160, local AS number 65000BGP table version is 8, main routing table version 82 network entries using 312 bytes of memory2 path entries using 136 bytes of memory3/1 BGP path/bestpath attribute entries using 444 bytes of memory1 BGP AS-PATH entries using 24 bytes of memory0 BGP route-map cache entries using 0 bytes of memory0 BGP filter-list cache entries using 0 bytes of memoryBitfield cache entries: current 1 (at peak 2) using 32 bytes of memoryBGP using 948 total bytes of memoryBGP activity 4/1 prefixes, 4/1 paths, scan interval 15 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd169.254.255.1 4 7224 363 323 8 0 0 00:54:21 1169.254.255.5 4 7224 364 323 8 0 0 00:00:24 1

Ici, les deux voisins doivent être répertoriés. Pour chacun d'entre eux, vous devez voir une valeur State/PfxRcd de 1.

Si l'appairage BGP est opérationnel, vérifiez que votre routeur de passerelle client publie la route par défaut(0.0.0.0/0) vers le VPC.

router# show bgp all neighbors 169.254.255.1 advertised-routes

For address family: IPv4 UnicastBGP table version is 3, local router ID is 174.78.144.73Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S StaleOrigin codes: i - IGP, e - EGP, ? - incomplete

Originating default network 0.0.0.0

Network Next Hop Metric LocPrf Weight Path*> 10.120.0.0/16 169.254.255.1 100 0 7224 i

Total number of prefixes 1

En outre, assurez-vous de recevoir le préfixe correspondant à votre VPC depuis la passerelle réseau privévirtuel.

router# show ip route bgp

10.0.0.0/16 is subnetted, 1 subnetsB 10.255.0.0 [20/0] via 169.254.255.1, 00:00:20


Attachement de la passerelle réseau privé virtuelVérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équipe d'intégrationl'effectue avec l'AWS Management Console.

Si vous avez des questions ou si vous avez besoin d'aide, veuillez utiliser le Amazon VPC forum.

188

https://forums.aws.amazon.com/forum.jspa?forumID=58

Amazon Virtual Private Cloud Network Administrator GuideConnectivité de la passerelle client Cisco IOS (sans BGP)

Résolution des problèmes de connectivité de lapasserelle client Cisco IOS sans connectivité BGP(Border Gateway Protocol)

Quand vous résolvez des problèmes de connectivité d'une passerelle client Cisco, vous devez prendre encompte trois critères : l'IKE, l'IPsec et le tunnel. Vous pouvez résoudre des problèmes dans ces domainesdans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas du stackréseau) et de remonter.


router# show crypto isakmp sa

IPv4 Crypto ISAKMP SAdst src state conn-id slot status174.78.144.73 205.251.233.121 QM_IDLE 2001 0 ACTIVE174.78.144.73 205.251.233.122 QM_IDLE 2002 0 ACTIVE

Vous devez voir une ou plusieurs lignes contenant un src de la passerelle à distance spécifiée dans lestunnels. L'état doit être QM_IDLE et le statut doit être ACTIVE. L'absence d'une entrée, ou toute entréedans un état différent, indique que l'IKE n'est pas correctement configuré.






router# show crypto ipsec sa


protected vrf: (none) local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0) current_peer 72.21.209.225 port 500 PERMIT, flags={origin_is_acl,}

189


#pkts encaps: 149, #pkts encrypt: 149, #pkts digest: 149 #pkts decaps: 146, #pkts decrypt: 146, #pkts verify: 146 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0

local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.121 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xB8357C22(3090512930)

inbound esp sas: spi: 0x6ADB173(112046451) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 1, flow_id: Motorola SEC 2.0:1, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xB8357C22(3090512930) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2, flow_id: Motorola SEC 2.0:2, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4467148/3189) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:



local crypto endpt.: 174.78.144.73, remote crypto endpt.:205.251.233.122 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xF59A3FF6(4120526838)

inbound esp sas: spi: 0xB6720137(3060924727) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 3, flow_id: Motorola SEC 2.0:3, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128

190


Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas: spi: 0xF59A3FF6(4120526838) transform: esp-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 4, flow_id: Motorola SEC 2.0:4, crypto map: Tunnel2-head-0 sa timing: remaining key lifetime (k/sec): (4387273/3492) IV size: 16 bytes replay detection support: Y replay window size: 128 Status: ACTIVE

outbound ah sas:

outbound pcp sas:

Pour chaque interface du tunnel, vous devez voir à la fois un ESP SAS entrant et un ESP SAS sortant. Ensupposant qu'une SA est répertoriée (par exemple, spi : 0x48B456A6), le statut est ACTIVE et l'IPsec estcorrectement configuré.







router# show interfaces tun1

Tunnel1 is up, line protocol is up Hardware is Tunnel Internet address is 169.254.249.18/30 MTU 17867 bytes, BW 100 Kbit/sec, DLY 50000 usec, reliability 255/255, txload 2/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive not set Tunnel source 174.78.144.73, destination 205.251.233.121 Tunnel protocol/transport IPSEC/IP Tunnel TTL 255 Tunnel transport MTU 1427 bytes Tunnel transmit bandwidth 8000 (kbps) Tunnel receive bandwidth 8000 (kbps) Tunnel protection via IPSec (profile "ipsec-vpn-92df3bfb-0") Last input never, output never, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

191


Queueing strategy: fifo Output queue: 0/0 (size/max) 5 minute input rate 0 bits/sec, 1 packets/sec 5 minute output rate 1000 bits/sec, 1 packets/sec 407 packets input, 30010 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles

Vérifiez que le protocole de ligne est opérationnel. Vérifiez que l'adresse IP source du tunnel, l'interfacesource et la destination correspondent respectivement à la configuration du tunnel pour l'adresse IPexterne de la passerelle client, pour l'interface et pour l'adresse IP externe de la passerelle réseau privévirtuel. Vérifiez que la protection du tunnel via l'IPSec est présente. Assurez-vous d'exécuter la commandesur les deux interfaces du tunnel. Pour résoudre tout problème, passez en revue la configuration.

Vous pouvez également utiliser la commande suivante, en remplaçant 169.254.249.18 par l'adresse IPinterne de votre passerelle réseau privé virtuel.

router# ping 169.254.249.18 df-bit size 1410

Type escape sequence to abort.Sending 5, 1410-byte ICMP Echos to 169.254.249.18, timeout is 2 seconds:Packet sent with the DF bit set!!!!!

Vous devez voir 5 points d'exclamation.

RoutagePour voir votre table de routage statique, utilisez la commande suivante.

router# sh ip route static

1.0.0.0/8 is variably subnettedS 10.0.0.0/16 is directly connected, Tunnel1is directly connected, Tunnel2

Vous devez voir que la route statique existe pour le CIDR du VPC via deux tunnels. Si elle n'existe pas,ajoutez les routes statiques comme montré ici.

router# ip route 10.0.0.0 255.255.0.0 Tunnel1 track 100 router# ip route 10.0.0.0 255.255.0.0 Tunnel2 track 200

Vérification du moniteur SLArouter# show ip sla statistics 100

IPSLAs Latest Operation Statistics

IPSLA operation id: 100 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

192


router# show ip sla statistics 200

IPSLAs Latest Operation Statistics

IPSLA operation id: 200 Latest RTT: 128 millisecondsLatest operation start time: *18:08:02.155 UTC Wed Jul 15 2012Latest operation return code: OKNumber of successes: 3Number of failures: 0Operation time to live: Forever

La valeur du « Nombre de succès » indique si le moniteur SLA a été installé avec succès.




Résolution des problèmes de connectivité de lapasserelle client Juniper JunOS

Quand vous résolvez des problèmes de connectivité d'une passerelle client Juniper, vous devez prendre encompte quatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmes dans cesdomaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en bas dustack réseau) et de remonter.


user@router> show security ike security-associations

Index Remote Address State Initiator cookie Responder cookie Mode4 72.21.209.225 UP c4cd953602568b74 0d6d194993328b02 Main3 72.21.209.193 UP b8c8fb7dc68d9173 ca7cb0abaedeb4bb Main

Vous devez voir une ou plusieurs lignes contenant une adresse à distance de la passerelle à distancespécifiée dans les tunnels. L'état doit être UP. L'absence d'une entrée, ou toute entrée dans un état différent(comme DOWN), indique que l'IKE n'est pas correctement configuré.

Pour un dépannage plus approfondi, autorisez les options de suivi IKE, comme recommandé dansl'exemple des informations de configuration (consultez Exemple : dispositif J-Series JunOS (p. 108)).Exécutez ensuite la commande suivante pour imprimer différents messages de débogage sur l'écran.

user@router> monitor start kmd

193



Depuis un hôte externe, vous pouvez récupérer le fichier journal complet avec la commande suivante.

scp [email protected]:/var/log/kmd


user@router> show security ipsec security-associations

Total active tunnels: 2ID Gateway Port Algorithm SPI Life:sec/kb Mon vsys<131073 72.21.209.225 500 ESP:aes-128/sha1 df27aae4 326/ unlim - 0>131073 72.21.209.225 500 ESP:aes-128/sha1 5de29aa1 326/ unlim - 0<131074 72.21.209.193 500 ESP:aes-128/sha1 dd16c453 300/ unlim - 0>131074 72.21.209.193 500 ESP:aes-128/sha1 c1e0eb29 300/ unlim - 0

Vous devez notamment voir au moins deux lignes par adresse de passerelle (correspondant à la passerelleà distance). Notez les carets au début de chaque ligne (< >) qui indiquent la direction du trafic pour uneentrée en particulier. Le résultat a des lignes séparées pour le trafic entrant (« < », trafic de la passerelleréseau privé virtuel vers la passerelle client) et le trafic sortant (« > »).

Pour un dépannage plus approfondi, autorisez les options de suivi IKE (pour plus d'informations, consultezla section précédente sur l'IKE).



user@router> show interfaces st0.1

Logical interface st0.1 (Index 70) (SNMP ifIndex 126) Flags: Point-To-Point SNMP-Traps Encapsulation: Secure-Tunnel Input packets : 8719 Output packets: 41841 Security: Zone: Trust Allowed host-inbound traffic : bgp ping ssh traceroute Protocol inet, MTU: 9192 Flags: None Addresses, Flags: Is-Preferred Is-Primary Destination: 169.254.255.0/30, Local: 169.254.255.2

Assurez-vous que la Security: Zone est correcte, et que l'adresse Local correspond à l'adresse interne dutunnel de la passerelle client.

Ensuite, utilisez la commande suivante, en remplaçant 169.254.255.1 par l'adresse IP interne de votrepasserelle réseau privé virtuel. Vos résultats doivent ressembler à la réponse présentée ici.

user@router> ping 169.254.255.1 size 1382 do-not-fragment

194

Amazon Virtual Private Cloud Network Administrator GuideBGP

PING 169.254.255.1 (169.254.255.1): 1410 data bytes64 bytes from 169.254.255.1: icmp_seq=0 ttl=64 time=71.080 ms64 bytes from 169.254.255.1: icmp_seq=1 ttl=64 time=70.585 ms



user@router> show bgp summary

Groups: 1 Peers: 2 Down peers: 0Table Tot Paths Act Paths Suppressed History Damp State Pendinginet.0 2 1 0 0 0 0Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...169.254.255.1 7224 9 10 0 0 1:00 1/1/1/0 0/0/0/0169.254.255.5 7224 8 9 0 0 56 0/1/1/0 0/0/0/0

Pour un dépannage plus approfondi, utilisez la commande suivante, en remplaçant 169.254.255.1 parl'adresse IP interne de votre passerelle réseau privé virtuel.

user@router> show bgp neighbor 169.254.255.1

Peer: 169.254.255.1+179 AS 7224 Local: 169.254.255.2+57175 AS 65000 Type: External State: Established Flags: <ImportEval Sync> Last State: OpenConfirm Last Event: RecvKeepAlive Last Error: None Export: [ EXPORT-DEFAULT ] Options: <Preference HoldTime PeerAS LocalAS Refresh> Holdtime: 30 Preference: 170 Local AS: 65000 Local System AS: 0 Number of flaps: 0 Peer ID: 169.254.255.1 Local ID: 10.50.0.10 Active Holdtime: 30 Keepalive Interval: 10 Peer index: 0 BFD: disabled, down Local Interface: st0.1 NLRI for restart configured on peer: inet-unicast NLRI advertised by peer: inet-unicast NLRI for this session: inet-unicast Peer supports Refresh capability (2) Restart time configured on the peer: 120 Stale routes from peer are kept for: 300 Restart time requested by this peer: 120 NLRI that peer supports restart for: inet-unicast NLRI that restart is negotiated for: inet-unicast NLRI of received end-of-rib markers: inet-unicast NLRI of all end-of-rib markers sent: inet-unicast Peer supports 4 byte AS extension (peer-as 7224) Table inet.0 Bit: 10000 RIB State: BGP restart is complete Send state: in sync Active prefixes: 1 Received prefixes: 1 Accepted prefixes: 1 Suppressed due to damping: 0 Advertised prefixes: 1

195


Last traffic (seconds): Received 4 Sent 8 Checked 4 Input messages: Total 24 Updates 2 Refreshes 0 Octets 505Output messages: Total 26 Updates 1 Refreshes 0 Octets 582Output Queue[0]: 0

Ici, vous devez voir les Received prefixes et les Advertised prefixes avec une valeur de 1 chacun. Ilsdoivent se trouver dans la section Table inet.0.

Si le State n'est pas Established, vérifier les Last State et Last Error pour plus de détails sur ce que vousdevez faire pour corriger le problème.


user@router> show route advertising-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 0.0.0.0/0 Self I


user@router> show route receive-protocol bgp 169.254.255.1

inet.0: 10 destinations, 11 routes (10 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path* 10.110.0.0/16 169.254.255.1 100 7224 I



Résolution des problèmes de connectivité de lapasserelle client Juniper ScreenOS

Quand vous résolvez des problèmes de connectivité d'une passerelle client basée sur Juniper ScreenOS,vous devez prendre en compte quatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudredes problèmes dans ces domaines dans n'importe quel ordre mais nous vous recommandons decommencer avec l'IKE (en bas du stack réseau) et de remonter.

IKE et IPsecUtilisez la commande suivante. La réponse montre une passerelle client avec un IKE configurécorrectement.

ssg5-serial-> get sa

196



total configured sa: 2HEX ID Gateway Port Algorithm SPI Life:sec kb Sta PID vsys00000002< 72.21.209.225 500 esp:a128/sha1 80041ca4 3385 unlim A/- -1 000000002> 72.21.209.225 500 esp:a128/sha1 8cdd274a 3385 unlim A/- -1 000000001< 72.21.209.193 500 esp:a128/sha1 ecf0bec7 3580 unlim A/- -1 000000001> 72.21.209.193 500 esp:a128/sha1 14bf7894 3580 unlim A/- -1 0

Vous devez voir une ou plusieurs lignes contenant une adresse à distance de la passerelle à distancespécifiée dans les tunnels. Le Sta soit être A/- et le SPI doit être un nombre hexadécimal autre que00000000. Des entrées dans un état différent indiquent que l'IKE n'est pas correctement configuré.

Pour un dépannage plus approfondi, autorisez les options de suivi IKE, comme recommandé dansl'exemple des informations de configuration (consultez Exemple : dispositif Juniper ScreenOS (p. 130)).



ssg5-serial-> get interface tunnel.1

Interface tunnel.1: description tunnel.1 number 20, if_info 1768, if_index 1, mode route link ready vsys Root, zone Trust, vr trust-vr admin mtu 1500, operating mtu 1500, default mtu 1500 *ip 169.254.255.2/30 *manage ip 169.254.255.2 route-deny disable bound vpn: IPSEC-1

Next-Hop Tunnel Binding table Flag Status Next-Hop(IP) tunnel-id VPN

pmtu-v4 disabled ping disabled, telnet disabled, SSH disabled, SNMP disabled web disabled, ident-reset disabled, SSL disabled

OSPF disabled BGP enabled RIP disabled RIPng disabled mtrace disabled PIM: not configured IGMP not configured NHRP disabled bandwidth: physical 0kbps, configured egress [gbw 0kbps mbw 0kbps] configured ingress mbw 0kbps, current bw 0kbps total allocated gbw 0kbps

Assurez-vous de voir link:ready et que l'adresse IP correspond à l'adresse interne du tunnel de lapasserelle client.

Ensuite, utilisez la commande suivante, en remplaçant 169.254.255.1 par l'adresse IP interne de votrepasserelle réseau privé virtuel. Vos résultats doivent ressembler à la réponse présentée ici.

ssg5-serial-> ping 169.254.255.1

197

Amazon Virtual Private Cloud Network Administrator GuideBGP

Type escape sequence to abort

Sending 5, 100-byte ICMP Echos to 169.254.255.1, timeout is 1 seconds!!!!!Success Rate is 100 percent (5/5), round-trip time min/avg/max=32/32/33 ms



ssg5-serial-> get vrouter trust-vr protocol bgp neighbor

Peer AS Remote IP Local IP Wt Status State ConnID Up/Down-------------------------------------------------------------------------------- 7224 169.254.255.1 169.254.255.2 100 Enabled ESTABLISH 10 00:01:01 7224 169.254.255.5 169.254.255.6 100 Enabled ESTABLISH 11 00:00:59

Les deux BGP pairs doivent être répertoriés comme State: ESTABLISH, ce qui signifie que la connexionBGP à la passerelle réseau privé virtuel est active.

Pour un dépannage plus approfondi, utilisez la commande suivante, en remplaçant 169.254.255.1 parl'adresse IP interne de votre passerelle réseau privé virtuel.

ssg5-serial-> get vr trust-vr prot bgp neigh 169.254.255.1

peer: 169.254.255.1, remote AS: 7224, admin status: enabletype: EBGP, multihop: 0(disable), MED: node default(0)connection state: ESTABLISH, connection id: 18 retry interval: node default(120s), cur retry time 15sconfigured hold time: node default(90s), configured keepalive: node default(30s)configured adv-interval: default(30s)designated local IP: n/alocal IP address/port: 169.254.255.2/13946, remote IP address/port: 169.254.255.1/179router ID of peer: 169.254.255.1, remote AS: 7224negotiated hold time: 30s, negotiated keepalive interval: 10sroute map in name: , route map out name:weight: 100 (default)self as next hop: disablesend default route to peer: disableignore default route from peer: disablesend community path attribute: noreflector client: noNeighbor Capabilities: Route refresh: advertised and received Address family IPv4 Unicast: advertised and receivedforce reconnect is disabletotal messages to peer: 106, from peer: 106update messages to peer: 6, from peer: 4Tx queue length 0, Tx queue HWM: 1route-refresh messages to peer: 0, from peer: 0last reset 00:05:33 ago, due to BGP send Notification(Hold Timer Expired)(code 4 : subcode 0)number of total successful connections: 4connected: 2 minutes 6 secondsElapsed time since last update: 2 minutes 6 seconds

198


Si l'appairage BGP est opérationnel, vérifiez que votre routeur de passerelle client publie la route par défaut(0.0.0.0/0) vers le VPC. Notez que cette commande s'applique au ScreenOS 6.2.0 et version plus récente.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 advertised

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->i 0.0.0.0/0 0.0.0.0 32768 100 0 IGPTotal IPv4 routes advertised: 1

En outre, assurez-vous de recevoir le préfixe correspondant à votre VPC depuis la passerelle réseau privévirtuel. Notez que cette commande s'applique au ScreenOS 6.2.0 et version plus récente.

ssg5-serial-> get vr trust-vr protocol bgp rib neighbor 169.254.255.1 received

i: IBGP route, e: EBGP route, >: best route, *: valid route Prefix Nexthop Wt Pref Med Orig AS-Path-------------------------------------------------------------------------------------->e* 10.0.0.0/16 169.254.255.1 100 100 100 IGP 7224Total IPv4 routes received: 1



Résolution des problèmes de connectivité de lapasserelle client Yamaha

Quand vous résolvez des problèmes de connectivité d'une passerelle client Yamaha, vous devez prendreen compte quatre critères : l'IKE, l'IPsec, le tunnel et le BGP. Vous pouvez résoudre des problèmes dansces domaines dans n'importe quel ordre mais nous vous recommandons de commencer avec l'IKE (en basdu stack réseau) et de remonter.


# show ipsec sa gateway 1

sgw flags local-id remote-id # of sa--------------------------------------------------------------------------1 U K YOUR_LOCAL_NETWORK_ADDRESS 72.21.209.225 i:2 s:1 r:1

Vous devez voir une ligne contenant une remote-id de la passerelle à distance spécifiée dans les tunnels.Vous pouvez répertorier toutes les associations de sécurité (SA) en omettant le numéro du tunnel.

199



Pour un dépannage plus approfondi, exécutez les commandes suivantes pour permettre la consignationdes messages de niveau DEBUG qui apportent des informations de diagnostic.

# syslog debug on# ipsec ike log message-info payload-info key-info

Pour annuler les éléments consignés, utilisez la commande suivante.

# no ipsec ike log# no syslog debug on


# show ipsec sa gateway 1 detail

SA[1] Duration: 10675sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bit

SPI: 6b ce fd 8a d5 30 9b 02 0c f3 87 52 4a 87 6e 77 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[2] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: sendProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: a6 67 47 47 Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[3] Duration: 1719sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Direction: receiveProtocol: ESP (Mode: tunnel)Algorithm: AES-CBC (for Auth.: HMAC-SHA)SPI: 6b 98 69 2b Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------SA[4] Duration: 10681sLocal ID: YOUR_LOCAL_NETWORK_ADDRESSRemote ID: 72.21.209.225Protocol: IKEAlgorithm: AES-CBC, SHA-1, MODP 1024bitSPI: e8 45 55 38 90 45 3f 67 a8 74 ca 71 ba bb 75 ee Key: ** ** ** ** ** (confidential) ** ** ** ** **----------------------------------------------------

Pour chaque interface du tunnel, vous devez voir à la fois receive sas et send sas.


# syslog debug on

200


# ipsec ike log message-info payload-info key-info

Utilisez la commande suivante pour désactiver le débogage.

# no ipsec ike log# no syslog debug on



# show status tunnel 1

TUNNEL[1]: Description: Interface type: IPsec Current status is Online. from 2011/08/15 18:19:45. 5 hours 7 minutes 58 seconds connection. Received: (IPv4) 3933 packets [244941 octets] (IPv6) 0 packet [0 octet] Transmitted: (IPv4) 3933 packets [241407 octets] (IPv6) 0 packet [0 octet]

Vérifiez que le current status est en ligne. Vérifiez également que l'Interface type est IPsec. Assurez-vousd'exécuter la commande sur les deux interfaces du tunnel. Pour résoudre tout problème se présentant ici,passez en revue la configuration.


# show status bgp neighbor

BGP neighbor is 169.254.255.1, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0 Last reset neverLocal host: unspecifiedForeign host: 169.254.255.1, Foreign port: 0

BGP neighbor is 169.254.255.5, remote AS 7224, local AS 65000, external link BGP version 0, remote router ID 0.0.0.0 BGP state = Active Last read 00:00:00, hold time is 0, keepalive interval is 0 seconds Received 0 messages, 0 notifications, 0 in queue Sent 0 messages, 0 notifications, 0 in queue Connection established 0; dropped 0

201


Last reset neverLocal host: unspecifiedForeign host: 169.254.255.5, Foreign port:

Ici, les deux voisins doivent être répertoriés. Pour chacun d'entre eux, vous devez voir une valeur BGPstate Active.


# show status bgp neighbor 169.254.255.1 advertised-routes

Total routes: 1*: valid route Network Next Hop Metric LocPrf Path* default 0.0.0.0 0 IGP


# show ip route

Destination Gateway Interface Kind Additional Info.default ***.***.***.*** LAN3(DHCP) static 10.0.0.0/16 169.254.255.1 TUNNEL[1] BGP path=10124




Résolution des problèmes de connectivité de lapasserelle client sur un périphérique génériqueutilisant un BGP (Border Gateway Protocol)

Le schéma et le tableau suivants fournissent des instructions générales pour la résolution de problèmes surune passerelle client qui utilise un BGP (Border Gateway Protocol) pour des périphériques autres que ceuxrépertoriés dans ce guide.

Tip

Quand vous résolvez des problèmes, il peut vous être utile d'autoriser les fonctions de débogagede votre périphérique de passerelle. Consultez le fournisseur de votre périphérique de passerellepour plus de détails.

202


Amazon Virtual Private Cloud Network Administrator GuideConnectivité de la passerelle client

sur un périphérique générique

203

Amazon Virtual Private Cloud Network Administrator GuideConnectivité de la passerelle client

sur un périphérique générique

Déterminez si une association de sécurité IKE existe.

Une association de sécurité IKE est nécessaire pour échanger des clés qui sont utiliséespour établir l'association de sécurité IPsec.

Si aucune association de sécurité IKE n'existe, passez en revue vos paramètres deconfiguration IKE. Vous devez configurer le chiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode comme répertoriés dans la configuration de lapasserelle client.

Si une association de sécurité IKE existe, continuez vers l'IPsec.

Déterminez si une association de sécurité IPsec existe.

Une association de sécurité IPsec est le tunnel lui-même. Interrogez votre passerelleclient pour déterminer sur une association de sécurité IPsec est active. Une configurationcorrecte de l'association de sécurité IPsec est essentielle. Vous devez configurer lechiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode commerépertoriés dans la configuration de la passerelle client.

Si aucune association de sécurité IPsec n'existe, passez en revue votre configurationIPsec.

Si une association de sécurité IPsec existe, continuez vers le tunnel.

Confirmez que les règles de pare-feu nécessaires sont installées (pour une liste des règles,consultez Configuration d'un pare-feu entre Internet et votre passerelle client (p. 11)). Sic'est le cas, continuez.

Déterminez s'il existe une connectivité IP via le tunnel.

Chaque côté du tunnel possède une adresse IP comme spécifié dans la configuration dela passerelle client. L'adresse de la passerelle réseau privé virtuel est l'adresse utiliséecomme l'adresse du voisin BGP. Depuis votre passerelle client, effectuez un test ping decette adresse pour déterminer si le trafic IP est correctement chiffré et déchiffré.

Si le test ping n'est pas réussi, passez en revue la configuration de votre interface detunnel pour vérifier qu'une adresse IP correcte est configurée.

Si le test ping est réussi, continuez vers le BGP.

Déterminez si l'appairage BGP est actif.

Pour chaque tunnel, procédez de la façon suivante :

• Sur votre passerelle client, déterminez si l'état du BGP est Actif ou Etabli. Il peut sepasser environ 30 secondes avant que l'appairage BGP devienne actif.

• Vérifiez que la passerelle client publie la route par défaut (0.0.0.0/0) vers la passerelleréseau privé virtuel.

Si les tunnels ne sont pas dans cet état, passez en revue la configuration de votre BGP.

Si l'appairage BGP est instauré, que vous recevez un préfixe et que vous publiez unpréfixe, alors votre tunnel est configuré correctement. Assurez-vous que les deux tunnelssont dans cet état et vous avez terminé.

Vérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équiped'intégration l'effectue avec l'AWS Management Console.

204

Amazon Virtual Private Cloud Network Administrator GuideConnectivité de la passerelle client surun périphérique générique (sans BGP)

Pour des instructions de test général applicables à toutes les passerelles client, consultez Comment testerla configuration de la passerelle client (p. 171).


Résolution des problèmes de connectivité de lapasserelle client sur un périphérique génériquesans connectivité BGP (Border Gateway Protocol)

Le schéma et le tableau suivants fournissent des instructions générales pour la résolution de problèmes surun périphérique de passerelle client qui n'utilise pas de BGP (Border Gateway Protocol).

Tip

Quand vous résolvez des problèmes, il peut vous être utile d'autoriser les fonctions de débogagede votre périphérique de passerelle. Consultez le fournisseur de votre périphérique de passerellepour plus de détails.

205



206


Déterminez si une association de sécurité IKE existe.

Une association de sécurité IKE est nécessaire pour échanger des clés qui sont utiliséespour établir l'association de sécurité IPsec.

Si aucune association de sécurité IKE n'existe, passez en revue vos paramètres deconfiguration IKE. Vous devez configurer le chiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode comme répertoriés dans la configuration de lapasserelle client.

Si une association de sécurité IKE existe, continuez vers l'IPsec.

Déterminez si une association de sécurité IPsec existe.

Une association de sécurité IPsec est le tunnel lui-même. Interrogez votre passerelleclient pour déterminer sur une association de sécurité IPsec est active. Une configurationcorrecte de l'association de sécurité IPsec est essentielle. Vous devez configurer lechiffrement, l'authentification, le perfect-forward-secrecy et les paramètres de mode commerépertoriés dans la configuration de la passerelle client.

Si aucune association de sécurité IPsec n'existe, passez en revue votre configurationIPsec.

Si une association de sécurité IPsec existe, continuez vers le tunnel.

Confirmez que les règles de pare-feu nécessaires sont installées (pour une liste des règles,consultez Configuration d'un pare-feu entre Internet et votre passerelle client (p. 11)). Sic'est le cas, continuez.

Déterminez s'il existe une connectivité IP via le tunnel.

Chaque côté du tunnel possède une adresse IP comme spécifié dans la configuration dela passerelle client. L'adresse de la passerelle réseau privé virtuel est l'adresse utiliséecomme l'adresse du voisin BGP. Depuis votre passerelle client, effectuez un test ping decette adresse pour déterminer si le trafic IP est correctement chiffré et déchiffré.

Si le test ping n'est pas réussi, passez en revue la configuration de votre interface detunnel pour vérifier qu'une adresse IP correcte est configurée.

Si le test ping est réussi, continuez vers le routage.

Routesstatiques

Routage :

Pour chaque tunnel, procédez de la façon suivante :

• Vérifiez que vous avez ajouté une route statique au CIDR de votre VPC avec les tunnelscomme prochain saut.

• Vérifiez que vous avez ajouté une route statique sur la console AWS pour dire à la VGW(passerelle VPN) de faire retourner le trafic vers vos réseaux internes.

Si les tunnels ne sont pas dans cet état, passez en revue la configuration de votrepériphérique.

Assurez-vous que les deux tunnels sont dans cet état et vous avez terminé.

Vérifiez que votre passerelle réseau privé virtuel est attachée à votre VPC. Votre équiped'intégration l'effectue avec l'AWS Management Console.

207



208


Amazon Virtual Private Cloud Network Administrator GuideConfiguration de votre serveur Windows

Configuration de Windows Server2008 R2 en tant que passerelle client

Vous pouvez configurer Windows Server 2008 R2 en tant que passerelle client pour votre VPC. Utilisez laprocédure suivante, que vous exécutiez Windows Server 2008 R2 sur une instance EC2 dans un VPC ousur votre propre serveur.

Rubriques• Configuration de votre serveur Windows (p. 209)• Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 210)• Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN (p. 211)• Étape 3 : Configuration du serveur Windows (p. 213)• Étape 4 : Configuration du tunnel VPN (p. 215)• Étape 5 : Activation de la détection de passerelle inactive (p. 221)• Étape 6 : Test de la connexion VPN (p. 222)

Configuration de votre serveur WindowsPour configurer Windows Server en tant que passerelle client, vérifiez que vous avez WindowsServer 2008 R2 sur votre propre réseau, ou sur une instance EC2 dans un VPC. Si vous utilisez uneinstance EC2 que vous avez lancée à partir d'une AMI Windows, procédez comme suit :

• Désactivez la source/destination checking pour l'instance:1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sélectionnez votre instance Windows Server, puis choisissez Actions, Networking, Change Source/

Dest. Check. Choisissez Yes, Disable.• Mettez à jour les paramètres de votre adaptateur pour pouvoir router le trafic depuis d'autres instances :

1. Connectez-vous à votre instance Windows. Pour plus d'informations, consultez la page Connexion àvotre instance Windows.

2. Ouvrez le Panneau de configuration, puis lancez le Gestionnaire de périphériques.3. Développez le nœud Cartes réseau.4. Cliquez avec le bouton droit sur la carte réseau Citrix ou PV AWS, puis cliquez sur Propriétés.5. Dans l'onglet Avancé, désactivez les propriétés IPv4 Checksum Offload, TCP Checksum Offload

(IPv4) et UDP Checksum Offload (IPv4), puis choisissez OK.• Associez une adresse IP Elastic à l'instance:

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, sélectionnez Elastic IPs. Choisissez Allouer une nouvelle adresse.3. Sélectionnez l'adresse IP Elastic, puis choisissez Actions, Associer l'adresse.4. Pour Instance, sélectionnez votre instance Windows Server. Choisissez Associate.

Notez cette adresse — vous en aurez besoin lors de la création de la passerelle client dans votre VPC.• Assurez-vous que les règles du groupe de sécurité de l'instance autorisent le trafic IPsec sortant. Par

défaut, un groupe de sécurité autorise tout le trafic sortant. Toutefois, si les règles sortantes du groupe

209

https://console.aws.amazon.com/ec2/

http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/connecting_to_windows_instance.html



Amazon Virtual Private Cloud Network Administrator GuideÉtape 1: Création d'une connexionVPN et configuration de votre VPC

de sécurité ont été modifiées par rapport à leur état d'origine, vous devez créer les règles sortantespersonnalisées suivantes pour le trafic IPsec : protocole IP 50, protocole IP 51 et UDP 500.

Notez la plage d'adresses CIDR pour votre réseau dans lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Étape 1: Création d'une connexion VPN etconfiguration de votre VPC

Pour créer une connexion VPN à partir de votre VPC, vous devez d'abord créer une passerelle réseauprivé virtuel et l'attacher à votre VPC. Vous pouvez ensuite créer une connexion VPN et configurer votreVPC. Vous devez également connaître la plage d'adresses CIDR pour votre réseau dans lequel le serveurWindows est situé (par exemple, 172.31.0.0/16).

Créer une passerelle réseau privé virtuel

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Virtual Private Gateways, puis Create Virtual Private Gateway.3. Vous pouvez entrer un nom pour votre passerelle réseau privé virtuel si vous le souhaitez, puis

choisissez Yes, Create.4. Sélectionnez la passerelle réseau privé virtuel que vous avez créée, puis choisissez Attach to VPC.5. Dans la boîte de dialogue Attach to VPC, sélectionnez votre VPC dans la liste, puis choisissez Yes,

Attach.

Pour créer une connexion VPN :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPN Connections, puis Create VPN Connection.3. Sélectionnez la passerelle réseau privé virtuel dans la liste.4. Pour Customer Gateway, choisissez New. Pour IP address, spécifiez l'adresse IP publique de votre

Windows Server.

Note

L'adresse IP doit être statique et peut se trouver derrière un périphérique exécutant uneconversion d'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puissefonctionner, vous devez ajuster vos règles de pare-feu pour débloquer le port UDP 4500. Sivotre passerelle client est une instance Windows Server EC2, utilisez son adresse IP Elastic.

5. Sélectionnez l'option de routage Static, saisissez les valeurs Static IP Prefixes pour votre réseau ennotation CIDR, puis choisissez Yes, Create.

Pour configurer votre VPC

• Créez un sous-réseau privé dans votre VPC (si ce n'est déjà fait) pour lancer les instances quicommuniqueront avec le serveur Windows. Pour plus d'informations, consultez la section Ajout d'unsous-réseau à votre VPC.

Note

Un sous-réseau privé est un sous-réseau qui ne comporte pas de route vers une passerelleInternet. Le routage pour ce sous-réseau est décrit dans l'élément suivant.

210

https://console.aws.amazon.com/vpc/


http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Subnets.html#AddaSubnet


Amazon Virtual Private Cloud Network Administrator GuideÉtape 2 : Téléchargement du fichier deconfiguration pour la connexion VPN

• Mettez à jour vos tables de routage pour la connexion VPN :• Ajoutez une route à la table de routage de votre sous-réseau privé, en définissant la passerelle réseau

privé virtuel comme cible et le réseau du serveur Windows (plage CIDR) comme destination.• Activez la propagation de routes pour la passerelle réseau privé virtuel. Pour plus d'informations,

consultez la section Tables de routage dans le manuel Amazon VPC Guide de l'utilisateur.• Créez une configuration de groupe de sécurité pour vos instances, qui autorise la communication entre

votre VPC et le réseau :• Ajoutez des règles autorisant l'accès SSH ou RDP entrant depuis votre réseau. Cela vous permet

de vous connecter aux instances de votre VPC depuis votre réseau. Par exemple, pour autoriser lesordinateurs de votre réseau à accéder aux instances Linux dans votre VPC, créez une règle entranteavec le type SSH et la source définie sur la plage d'adresses CIDR de votre réseau (par exemple,172.31.0.0/16). Pour plus d'informations, consultez la section Groupes de sécurité pour votre VPCdans le manuel Amazon VPC Guide de l'utilisateur.

• Ajoutez une règle autorisant l'accès ICMP entrant depuis votre réseau. Cela vous permet de testervotre connexion VPN en effectuant un test ping de l'instance dans votre VPC à partir de votre serveurWindows.

Étape 2 : Téléchargement du fichier deconfiguration pour la connexion VPN

Vous pouvez utiliser la console Amazon VPC afin de télécharger un fichier de configurationWindows Server pour votre connexion VPN.

Pour télécharger le fichier de configuration :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, cliquez sur VPN Connections.3. Sélectionnez votre connexion VPN, puis cliquez sur Download Configuration.4. Sélectionnez le fournisseur Microsoft, la plate-forme Windows Server et le logiciel 2008 R2. Cliquez

sur Yes, Download. Vous pouvez ouvrir le fichier ou l'enregistrer.

Le fichier de configuration contient une section d'informations similaire à l'exemple ci-dessous. Cesinformations seront affichées deux fois (une pour chaque tunnel). Elles vous serviront lors de laconfiguration du serveur Windows Server 2008 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

Adresse IP de la passerelle client (dans ce cas, votre serveur Windows) qui interrompt la connexionVPN du côté de votre réseau. Si votre passerelle client est une instance Windows Server, il s'agit del'adresse IP privée de l'instance.

Remote Tunnel Endpoint

Une des deux adresses IP de la passerelle réseau privé virtuel qui interrompt la connexion VPN côtéAWS.

211

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html



Endpoint 1

Préfixe IP que vous avez spécifié comme route statique lors de la création de la connexion VPN. Ils'agit des adresses IP de votre réseau qui sont autorisées à utiliser la connexion VPN pour accéder àvotre VPC.

Endpoint 2

Plage d'adresses IP (bloc d'adresse CIDR) du VPC associé à la passerelle réseau privé virtuel (parexemple, 10.0.0.0/16).

Preshared key

Clé pré partagée qui permet d'établir la connexion VPN IPsec entre Local Tunnel Endpoint etRemote Tunnel Endpoint.

Nous vous recommandons de configurer les deux tunnels dans le cadre de la connexion VPN. Chaquetunnel se connecte à un concentrateur VPN distinct du côté Amazon de la connexion VPN. Même si lesdeux tunnels ne peuvent pas être actifs simultanément, le deuxième tunnel s'établit automatiquement sile premier s'arrête. L'utilisation de tunnels redondants garantit une disponibilité continue en cas de panned'un périphérique. Sachant qu'un seul tunnel est disponible à la fois, la console Amazon VPC indique qu'untunnel est arrêté. Ce comportement étant attendu, aucune action de votre part n'est requise.

Les deux tunnels sont configurés. Par conséquent, en cas de dysfonctionnement d'un périphérique dansAWS, votre connexion VPN bascule automatiquement vers le deuxième tunnel de la passerelle réseauprivé virtuel AWS en quelques minutes. Lorsque vous configurez votre passerelle client, vous devezconfigurer les deux tunnels.

Note

De temps en temps, AWS effectue des opérations de maintenance habituelles sur la passerelleréseau privé virtuel. Il est possible que cette opération désactive l'un des deux tunnels de votreconnexion VPN pendant une brève période. Votre connexion VPN bascule automatiquement versle deuxième tunnel lors de ces opérations de maintenance.

Le fichier de configuration téléchargé contient des informations supplémentaires sur les associations desécurité (SA) IKE (Internet Key Exchange) et IPsec. Les paramètres recommandés pour le VPN du VPCAWS sont identiques aux paramètres de configuration IPsec par défaut de Windows Server 2008 R2. Parconséquent, les tâches que vous avez à effectuer sont minimes.

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1 MainModeKeyLifetime: 480min,0sec QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb, ESP:SHA1-3D ES+60min+100000kb QuickModePFS: DHGroup2

MainModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IKE. Il s'agit des paramètres recommandéspour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2008 R2.

MainModeKeyLifetime

Durée de vie de la clé de la SA IKE. Il s'agit du paramètre recommandé pour la connexion VPN et duparamètre par défaut pour les connexions VPN IPsec de Windows Server 2008 R2.

QuickModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IPsec. Il s'agit des paramètresrecommandés pour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2008 R2.

212

Amazon Virtual Private Cloud Network Administrator GuideÉtape 3 : Configuration du serveur Windows

QuickModePFS

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pour vossessions IPsec.

Étape 3 : Configuration du serveur WindowsAvant de configurer le tunnel VPN, vous devez installer et configurer les services de routage et d'accèsdistant sur votre serveur Windows pour permettre aux utilisateurs distants d'accéder aux ressources survotre réseau.

Pour installer les services de routage et d'accès distant sur Windows Server 2008 R2 :

1. Connectez-vous au serveur Windows Server 2008 R2.2. Cliquez sur Démarrer, pointez la souris vers Tous les programmes, vers Outils d'administration, puis

cliquez sur Gestionnaire de serveur.3. Installez les services de routage et d'accès distant :

a. Dans le volet de navigation Gestionnaire de serveur, cliquez sur Rôles.b. Dans le volet Rôles, cliquez sur Ajouter des rôles.c. Sur la page Avant de commencer, vérifiez si votre serveur respecte les conditions requises, puis

cliquez sur Suivant.d. Sur la page Sélectionner des rôles de serveurs, cliquez sur Services de stratégie et d'accès

réseau, puis sur Suivant.e. Sur la page Services de stratégie et d'accès réseau, cliquez sur Suivant.f. Sur la page Sélectionner les services de rôle, cliquez sur Services de routage et d'accès distant,

laissez les options Service d'accès à distance et Routage sélectionnées, puis cliquez sur Suivant.

g. Sur la page Confirmer les sélections pour l'installation, cliquez sur Installer.h. À la fin de l'assistant, cliquez sur Fermer.

213


Pour configurer et activer le serveur de Routage et d'accès à distance :

1. Dans le volet de navigation Gestionnaire de serveur, développez Rôles, puis Stratégie et accèsréseau.

2. Cliquez avec le bouton droit sur Serveur de Routage et accès à distance, puis cliquez sur Configurer etactiver le routage et l'accès à distance.

3. Sur la page Bienvenue de l'Assistant Configuration du routage et de l'accès distant, cliquez surSuivant.

4. Sur la page Configuration, cliquez sur Configuration personnalisée, puis sur Suivant.5. Cliquez sur Routage réseau, puis sur Suivant.6. Cliquez sur Terminer.7. Lorsque vous y êtes invité par la boîte de dialogue Routage et accès à distance, cliquez sur Démarrer

le service.

214

Amazon Virtual Private Cloud Network Administrator GuideÉtape 4 : Configuration du tunnel VPN

Étape 4 : Configuration du tunnel VPNVous pouvez configurer le tunnel VPN en exécutant les scripts netsh inclus dans le fichier de configurationtéléchargé ou à l'aide de l'Assistant Nouvelle règle de sécurité de connexion sur le serveur Windows.

Important

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pourvos sessions IPsec. Toutefois, vous ne pouvez pas activer PFS via l'interface utilisateur deWindows Server 2008 R2. Pour activer ce paramètre, la seule solution consiste à exécuter lescript netsh avec qmpfs=dhgroup2. Par conséquent, vous devez tenir compte de vos besoinsavant de choisir une option.

Option 1 : Exécuter le script netshCopiez le script netsh dans le fichier de configuration téléchargé et remplacez les variables. Voici unexemple de script.

netsh advfirewall consec add rule Name="VGW-1a2b3c4d Tunnel 1" Enable=Yes ^Profile=any Type=Static Mode=Tunnel LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Static_Route_IP_Prefix Êndpoint2=VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6Gsexample ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name : vous pouvez remplacer le nom proposé (VGW-1a2b3c4d Tunnel 1) par celui de votre choix.

LocalTunnelEndpoint : saisissez l'adresse IP privée du serveur Windows sur votre réseau.

Endpoint1 : bloc d'adresse CIDR de votre réseau sur lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Endpoint2 : bloc d'adresse CIDR de votre VPC ou d'un sous-réseau de votre VPC (par exemple,10.0.0.0/16).

Exécutez le script mis à jour dans une fenêtre d'invite de commande (le caractère ^ vous permet de couper-coller le texte renvoyé à la ligne dans la ligne de commande). Pour configurer le deuxième tunnel VPN pourcette connexion VPN, répétez la procédure avec le deuxième script netsh du fichier de configuration.

Lorsque vous avez terminé, passez à la section 2.4 : Configuration du pare-feu Windows (p. 220).

Pour plus d'informations sur les paramètres netsh, accédez à la page Netsh AdvFirewall ConsecCommands dans la Bibliothèque Microsoft TechNet.

Option 2 : Utiliser l'interface utilisateur deWindows ServerPour configurer le tunnel VPN, vous pouvez également utiliser l'interface utilisateur du serveur Windows.Cette section décrit la marche à suivre.

Important

Vous ne pouvez pas activer la clé principale PFS (Perfect Forward Secrecy) via l'interfaceutilisateur de Windows Server 2008 R2. Par conséquent, si vous décidez d'utiliser PFS, vous

215

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx#BKMK_2_set

Amazon Virtual Private Cloud Network Administrator GuideOption 2 : Utiliser l'interface utilisateur de Windows Server

devez utiliser les scripts netsh décrits dans l'option 1 au lieu de l'interface utilisateur décrite danscette option.

• 2.1 : Configurer une règle de sécurité pour un tunnel VPN (p. 216)• 2.3 : Valider la configuration des tunnels (p. 219)• 2.4 : Configuration du pare-feu Windows (p. 220)

2.1 : Configurer une règle de sécurité pour un tunnel VPNDans cette section, vous configurez une règle de sécurité sur votre serveur Windows afin de créer untunnel VPN.

Pour configurer une règle de sécurité pour un tunnel VPN :

1. Dans le volet de navigation Gestionnaire de serveur, développez Configuration, puis Pare-feuWindows avec fonctions avancées de sécurité.

2. Cliquez avec le bouton droit sur Règles de sécurité de connexion, puis cliquez sur Nouvelle règle.3. Sur la page Type de règle de l'Assistant Nouvelle règle de sécurité de connexion, cliquez sur Tunnel,

puis sur Suivant.4. Sur la page Type de tunnel, sous Quel type de tunnel voulez-vous créer ?, cliquez sur Configuration

personnalisée. Sous Voulez-vous exempter les connexions protégées par IPsec de ce tunnel ?,conservez la valeur par défaut (Non. Envoyer tout le trafic réseau qui satisfait à cette règle de sécuritéde connexion à travers le tunnel). Cliquez ensuite sur Suivant.

5. Sur la page Configuration requise, cliquez sur Exiger l'authentification pour les connexions entrantes.Ne pas établir de tunnel pour les connexions sortantes, puis cliquez sur Suivant.

6. Sur la page Points de terminaison du tunnel, sous Quels ordinateurs se trouvent au point determinaison 1 ?, cliquez sur Ajouter. Saisissez la plage CIDR de votre réseau (derrière votre passerelleclient Windows Server), puis cliquez sur OK. Notez que cette plage peut inclure l'adresse IP de votrepasserelle client.

216


7. Sous Quel est le point de terminaison du tunnel local (le plus proche des ordinateurs du point determinaison 1) ?, cliquez sur Modifier. Saisissez l'adresse IP privée de votre serveur Windows, puiscliquez sur OK.

8. Sous Quel est le point de terminaison du tunnel distant (le plus proche des ordinateurs du point determinaison 2) ?, cliquez sur Modifier. Saisissez l'adresse IP de la passerelle réseau privé virtuel pourle tunnel 1 provenant du fichier de configuration (cf. Remote Tunnel Endpoint), puis cliquez surOK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner le point determinaison pour le tunnel 2.

9. Sous Quels ordinateurs se trouvent au point de terminaison 2 ?, cliquez sur Ajouter. Saisissez le blocd'adresse CIDR de votre VPC, puis cliquez sur OK.

Important

Vous devez faire défiler la boîte de dialogue jusqu'à la section Quels ordinateurs se trouventau point de terminaison 2 ?. Ne cliquez pas sur Suivant avant d'avoir terminé cette étape, carvous ne pourriez pas vous connecter à votre serveur.

217


10. Assurez-vous que tous les paramètres que vous avez spécifiés sont corrects, puis cliquez sur Suivant.11. Sur la page Méthode d'authentification, sélectionnez Avancé, puis cliquez sur Personnaliser.12. Sous Premières méthodes d'authentification, cliquez sur Ajouter.13. Sélectionnez Clé prépartagée, saisissez la valeur de la clé pré partagée provenant du fichier de

configuration, puis cliquez sur OK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner la clé prépartagée correspondante.

14. Assurez-vous que l'option La première authentification est facultative n'est pas sélectionnée, puiscliquez sur OK.

15. Sur la page Méthode d'authentification, cliquez sur Suivant.16. Sur la page Profil, cochez les trois cases : Domaine, Privé et Public, puis cliquez sur Suivant.17. Sur la page Nom, saisissez le nom de votre règle de connexion, puis cliquez sur Terminer.

218


Répétez la procédure ci-dessus, en spécifiant les données pour le tunnel 2 provenant du fichier deconfiguration.

Une fois l'opération terminée, vous disposez de deux tunnels configurés pour votre connexion VPN.

2.3 : Valider la configuration des tunnelsPour valider la configuration des tunnels :

1. Dans le volet de navigation Gestionnaire de serveur, développez le nœud Configuration, développezPare-feu Windows avec fonctions avancées de sécurité, puis cliquez sur Règles de sécurité deconnexion.

2. Effectuez les vérifications suivantes pour les deux tunnels :

• Activé est défini sur Yes.• Mode d'authentification est défini sur Require inbound and clear outbound.• Méthode d'authentification est défini sur Custom.• Port du point de terminaison 1 est défini sur Any.• Port du point de terminaison 2 est défini sur Any.• Protocole est défini sur Any.

3. Double-cliquez sur la règle de sécurité pour votre premier tunnel.4. Dans l'onglet Ordinateurs, effectuez les vérifications suivantes :

• Sous Point de terminaison 1, la plage indiquée pour le bloc d'adresse CIDR correspond à celle devotre réseau.

• Sous Point de terminaison 2, la plage indiquée pour le bloc d'adresse CIDR correspond à celle devotre VPC.

219


5. Dans l'onglet Authentification, sous Méthode, cliquez sur Personnaliser. Vérifiez si Premièresméthodes d'authentification contient la clé pré partagée appropriée provenant du fichier deconfiguration pour le tunnel, puis cliquez sur OK.

6. Dans l'onglet Avancé, assurez-vous que les options Domaine, Privé et Public sont toutessélectionnées.

7. Sous Tunneling IPsec, cliquez sur Personnaliser. Vérifiez les paramètres suivants concernant letunneling IPSec.

• L'option Utiliser le tunneling IPSec est sélectionnée.• Point de terminaison du tunnel local (le plus proche du point de terminaison 1) contient l'adresse IP

de votre serveur. Si votre passerelle client est une instance Windows Server, il s'agit de l'adresse IPprivée de l'instance.

• Point de terminaison du tunnel distant (le plus proche du point de terminaison 2) contientl'adresse IP de la passerelle réseau privé virtuel pour ce tunnel.

8. Double-cliquez sur la règle de sécurité pour votre deuxième tunnel. Répétez les étapes 4 à 7 pour cetunnel.

2.4 : Configuration du pare-feu WindowsAprès avoir configuré vos règles de sécurité sur votre serveur, configurez les paramètres IPsec de basepour qu'ils fonctionnent avec la passerelle réseau privé virtuel.

Pour configurer le pare-feu Windows :

1. Dans le volet de navigation Gestionnaire de serveur, cliquez avec le bouton droit sur Pare-feuWindows avec fonctions avancées de sécurité, puis sur Propriétés.

2. Cliquez sur l'onglet Paramètres IPSec.3. Sous Exemptions IPsec, assurez-vous que l'option Exempter ICMP d'IPsec est définie sur Non (par

défaut). Assurez-vous que l'option Autorisation de tunnel IPsec est définie sur Aucune.4. Sous Valeurs par défaut IPsec, cliquez sur Personnaliser.5. Dans la boîte de dialogue Personnaliser les paramètres IPsec, sous Échange de clé (mode principal),

sélectionnez Avancé, puis cliquez sur Personnaliser.6. Dans Personnaliser les paramètres avancés d'échange de clés, sous Méthodes de sécurité, assurez-

vous que ces valeurs par défaut sont utilisées comme première entrée.

• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Algorithme d'échange de clés : Groupe Diffie-Hellman 2• Sous Durée de vie des clés, assurez-vous que Minutes est défini sur 480 et que Sessions est défini

sur 0.

Ces paramètres correspondent aux entrées suivantes dans le fichier de configuration :

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

220

Amazon Virtual Private Cloud Network Administrator GuideÉtape 5 : Activation de la détection de passerelle inactive

7. Sous Options d'échange de clés, sélectionnez Utiliser Diffie-Hellman pour une sécurité accrue, puiscliquez sur OK.

8. Sous Protection des données (mode rapide), cliquez sur Avancé, puis sur Personnaliser.9. Cliquez sur Demander le chiffrement de toutes les règles de sécurité de connexion qui utilisent ces

paramètres.10. Sous Algorithmes d'intégrité et de chiffrement des données, conservez les valeurs par défaut :

• Protocole : ESP• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Durée de vie : 60 minutes

Ces valeurs correspondent aux entrées suivantes du fichier de configuration.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb,ESP:SHA1-3D ES+60min+100000kb

11. Cliquez sur OK pour revenir dans la boîte de dialogue Personnaliser les paramètres IPsec, puis denouveau sur OK pour enregistrer la configuration.

Étape 5 : Activation de la détection de passerelleinactive

Vous devez ensuite configurer TCP pour détecter quand une passerelle devient indisponible. Pour ce faire,vous pouvez modifier cette clé de registre : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. N'effectuez pas cette opération avant d'avoir terminé la procédure indiquée dans lessections précédentes. Une fois que vous avez modifié la clé de registre, vous devez redémarrer le serveur.

221

Amazon Virtual Private Cloud Network Administrator GuideÉtape 6 : Test de la connexion VPN

Pour activer la détection de passerelle inactive :

1. Sur le serveur, cliquez sur Démarrer, puis saisissez regedit pour lancer l'Éditeur du Registre.2. Développez HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip, puis

Parameters.3. Dans l'autre volet, cliquez avec le bouton droit, pointez la souris sur Nouveau, puis sélectionnez Valeur

DWORD 32 bits.4. Saisissez le nom EnableDeadGWDetect.5. Cliquez avec le bouton droit sur EnableDeadGWDetect, puis cliquez sur Modifier.6. Dans Données de la valeur, saisissez 1, puis cliquez sur OK.7. Fermez l'Éditeur du Registre, puis redémarrez le serveur.

Pour plus d'informations, accédez à la page EnableDeadGWDetect dans la Bibliothèque MicrosoftTechNet.

Étape 6 : Test de la connexion VPNPour vérifier si la connexion VPN fonctionne correctement, lancez une instance dans votre VPC et assurez-vous qu'elle n'est associée à aucune connexion Internet. Après avoir lancé l'instance, effectuez un test pingsur son adresse IP privée à partir de votre serveur Windows. Le tunnel VPN intervient lorsque le trafic estgénéré depuis la passerelle client. Par conséquent, la commande ping initie également la connexion VPN.

Pour lancer une instance dans votre VPC et obtenir son adresse IP privée :

1. Ouvrez la console Amazon EC2, puis cliquez sur Launch Instance.2. Sélectionnez une AMI Amazon Linux, puis un type d'instance.3. Sur la page Step 3: Configure Instance Details, sélectionnez votre VPC dans la liste Network et un

sous-réseau dans la liste Subnet. Veillez à sélectionner le sous-réseau privé que vous avez configurélors de l'étape Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 210).

4. Dans la liste Auto-assign Public IP, assurez-vous que le paramètre est défini sur Disable.5. Cliquez sur Next jusqu'à ce que vous atteigniez la page Step 6: Configure Security Group. Vous

pouvez sélectionner un groupe de sécurité que vous avez configuré dans Étape 1: Création d'uneconnexion VPN et configuration de votre VPC (p. 210), ou créer un groupe de sécurité et vérifier qu'ilcomporte une règle autorisant tout le trafic ICMP à partir de l'adresse IP de votre serveur Windows.

6. Terminez les étapes restantes de l'assistant, puis lancez votre instance.7. Sur la page Instances, sélectionnez votre instance. Dans le volet des détails, obtenez l'adresse IP

privée dans le champ Private IPs.

Connectez-vous à votre serveur Windows, ouvrez l'invite de commande, puis utilisez la commande pingpour effectuer un test ping sur votre instance avec son adresse IP privée. Par exemple :

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

222

http://technet.microsoft.com/en-us/library/cc960464.aspx


Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Si la commande ping échoue, vérifiez les informations suivantes :

• Assurez-vous d'avoir configuré vos règles de groupe de sécurité pour autoriser le trafic ICMP versl'instance dans votre VPC. Si votre serveur Windows est une instance EC2, assurez-vous que les règlessortantes de son groupe de sécurité autorisent le trafic IPsec. Pour de plus amples informations, veuillezconsulter Configuration de votre serveur Windows (p. 209).

• Assurez-vous que le système d'exploitation est configuré pour répondre à ICMP, sur l'instance faisantl'objet de votre test ping. Nous vous recommandons d'utiliser une des AMI Amazon Linux.

• Si l'instance sur laquelle vous effectuez un test ping est une instance Windows, connectez-vous àl'instance et autorisez l'accès ICMPv4 entrant sur le pare-feu Windows.

• Assurez-vous d'avoir correctement configuré les tables de routage pour votre VPC ou votre sous-réseau. Pour de plus amples informations, veuillez consulter Étape 1: Création d'une connexion VPN etconfiguration de votre VPC (p. 210).

• Si votre passerelle client est une instance Windows Server, assurez-vous d'avoir désactivé la source/destination checking pour l'instance. Pour de plus amples informations, veuillez consulter Configurationde votre serveur Windows (p. 209).

Sur la page VPN Connections de la console Amazon VPC, sélectionnez votre connexion VPN. Le premiertunnel est à l'état « UP ». Le second tunnel doit être configuré, mais il ne sera utilisé que si le premiertunnel s'arrête. L'établissement des tunnels chiffrés peut prendre quelques instants.

223

Amazon Virtual Private Cloud Network Administrator GuideConfiguration de votre serveur Windows

Configuration de Windows Server2012 R2 en tant que passerelle client

Vous pouvez configurer Windows Server 2012 R2 en tant que passerelle client pour votre VPC. Utilisez laprocédure suivante, que vous exécutiez Windows Server 2012 R2 sur une instance EC2 dans un VPC ousur votre propre serveur.

Rubriques• Configuration de votre serveur Windows (p. 224)• Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 225)• Étape 2 : Téléchargement du fichier de configuration pour la connexion VPN (p. 226)• Étape 3 : Configuration du serveur Windows (p. 228)• Étape 4 : Configuration du tunnel VPN (p. 229)• Étape 5 : Activation de la détection de passerelle inactive (p. 234)• Étape 6 : Test de la connexion VPN (p. 235)

Configuration de votre serveur WindowsPour configurer Windows Server en tant que passerelle client, vérifiez que vous avez WindowsServer 2012 R2 sur votre propre réseau, ou sur une instance EC2 dans un VPC. Si vous utilisez uneinstance EC2 que vous avez lancée à partir d'une AMI Windows, procédez comme suit :

• Désactivez la source/destination checking pour l'instance:1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Sélectionnez votre instance Windows Server, puis choisissez Actions, Networking, Change Source/

Dest. Check. Choisissez Yes, Disable.• Mettez à jour les paramètres de votre adaptateur pour pouvoir router le trafic depuis d'autres instances :

1. Connectez-vous à votre instance Windows. Pour plus d'informations, consultez la page Connexion àvotre instance Windows.

2. Ouvrez le Panneau de configuration, puis lancez le Gestionnaire de périphériques.3. Développez le nœud Cartes réseau.4. Sélectionnez l'appareil réseau AWS PV, puis choisissez Action, Properties.5. Dans l'onglet Avancé, désactivez les propriétés IPv4 Checksum Offload, TCP Checksum Offload

(IPv4) et UDP Checksum Offload (IPv4), puis choisissez OK.• Associez une adresse IP Elastic à l'instance:

1. Ouvrez la console Amazon EC2 à l'adresse https://console.aws.amazon.com/ec2/.2. Dans le volet de navigation, sélectionnez Elastic IPs. Choisissez Allouer une nouvelle adresse.3. Sélectionnez l'adresse IP Elastic, puis choisissez Actions, Associer l'adresse.4. Pour Instance, sélectionnez votre instance Windows Server. Choisissez Associate.

Notez cette adresse — vous en aurez besoin lors de la création de la passerelle client dans votre VPC.• Assurez-vous que les règles du groupe de sécurité de l'instance autorisent le trafic IPsec sortant. Par

défaut, un groupe de sécurité autorise tout le trafic sortant. Toutefois, si les règles sortantes du groupe

224





Amazon Virtual Private Cloud Network Administrator GuideÉtape 1: Création d'une connexionVPN et configuration de votre VPC

de sécurité ont été modifiées par rapport à leur état d'origine, vous devez créer les règles sortantespersonnalisées suivantes pour le trafic IPsec : protocole IP 50, protocole IP 51 et UDP 500.

Notez la plage d'adresses CIDR pour votre réseau dans lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Étape 1: Création d'une connexion VPN etconfiguration de votre VPC

Pour créer une connexion VPN à partir de votre VPC, vous devez d'abord créer une passerelle réseauprivé virtuel et l'attacher à votre VPC. Vous pouvez ensuite créer une connexion VPN et configurer votreVPC. Vous devez également connaître la plage d'adresses CIDR pour votre réseau dans lequel le serveurWindows est situé (par exemple, 172.31.0.0/16).

Créer une passerelle réseau privé virtuel

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez Virtual Private Gateways, puis Create Virtual Private Gateway.3. Vous pouvez entrer un nom pour votre passerelle réseau privé virtuel si vous le souhaitez, puis

choisissez Yes, Create.4. Sélectionnez la passerelle réseau privé virtuel que vous avez créée, puis choisissez Attach to VPC.5. Dans la boîte de dialogue Attach to VPC, sélectionnez votre VPC dans la liste, puis choisissez Yes,

Attach.

Pour créer une connexion VPN :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPN Connections, puis Create VPN Connection.3. Sélectionnez la passerelle réseau privé virtuel dans la liste.4. Pour Customer Gateway, choisissez New. Pour IP address, spécifiez l'adresse IP publique de votre

Windows Server.

Note

L'adresse IP doit être statique et peut se trouver derrière un périphérique exécutant uneconversion d'adresses réseau (NAT). Pour s'assurer que la traversée NAT (NAT-T) puissefonctionner, vous devez ajuster vos règles de pare-feu pour débloquer le port UDP 4500. Sivotre passerelle client est une instance Windows Server EC2, utilisez son adresse IP Elastic.

5. Sélectionnez l'option de routage Static, saisissez les valeurs Static IP Prefixes pour votre réseau ennotation CIDR, puis choisissez Yes, Create.

Pour configurer votre VPC

• Créez un sous-réseau privé dans votre VPC (si ce n'est déjà fait) pour lancer les instances quicommuniqueront avec le serveur Windows. Pour plus d'informations, consultez la section Ajout d'unsous-réseau à votre VPC.

Note

Un sous-réseau privé est un sous-réseau qui ne comporte pas de route vers une passerelleInternet. Le routage pour ce sous-réseau est décrit dans l'élément suivant.

225






• Mettez à jour vos tables de routage pour la connexion VPN :• Ajoutez une route à la table de routage de votre sous-réseau privé, en définissant la passerelle réseau

privé virtuel comme cible et le réseau du serveur Windows (plage CIDR) comme destination.• Activez la propagation de routes pour la passerelle réseau privé virtuel. Pour plus d'informations,

consultez la section Tables de routage dans le manuel Amazon VPC Guide de l'utilisateur.• Créez une configuration de groupe de sécurité pour vos instances, qui autorise la communication entre

votre VPC et le réseau :• Ajoutez des règles autorisant l'accès SSH ou RDP entrant depuis votre réseau. Cela vous permet

de vous connecter aux instances de votre VPC depuis votre réseau. Par exemple, pour autoriser lesordinateurs de votre réseau à accéder aux instances Linux dans votre VPC, créez une règle entranteavec le type SSH et la source définie sur la plage d'adresses CIDR de votre réseau (par exemple,172.31.0.0/16). Pour plus d'informations, consultez la section Groupes de sécurité pour votre VPCdans le manuel Amazon VPC Guide de l'utilisateur.

• Ajoutez une règle autorisant l'accès ICMP entrant depuis votre réseau. Cela vous permet de testervotre connexion VPN en effectuant un test ping de l'instance dans votre VPC à partir de votre serveurWindows.

Étape 2 : Téléchargement du fichier deconfiguration pour la connexion VPN

Vous pouvez utiliser la console Amazon VPC afin de télécharger un fichier de configurationWindows Server pour votre connexion VPN.

Pour télécharger le fichier de configuration :

1. Ouvrez la console Amazon VPC à l'adresse https://console.aws.amazon.com/vpc/.2. Dans le volet de navigation, choisissez VPN Connections.3. Sélectionnez votre connexion VPN, puis choisissez Download Configuration.4. Sélectionnez le fournisseur Microsoft, la plate-forme Windows Server et le logiciel 2012 R2. Choisissez

Yes, Download. Vous pouvez ouvrir le fichier ou l'enregistrer.

Le fichier de configuration contient une section d'informations similaire à l'exemple ci-dessous. Cesinformations seront affichées deux fois (une pour chaque tunnel). Elles vous serviront lors de laconfiguration du serveur Windows Server 2012 R2.

vgw-1a2b3c4d Tunnel1-------------------------------------------------------------------- Local Tunnel Endpoint: 203.0.113.1Remote Tunnel Endpoint: 203.83.222.237Endpoint 1: [Your_Static_Route_IP_Prefix]Endpoint 2: [Your_VPC_CIDR_Block]Preshared key: xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE

Local Tunnel Endpoint

Adresse IP de la passerelle client (dans ce cas, votre serveur Windows) qui interrompt la connexionVPN du côté de votre réseau. Si votre passerelle client est une instance Windows Server, il s'agit del'adresse IP privée de l'instance.

Remote Tunnel Endpoint

Une des deux adresses IP de la passerelle réseau privé virtuel qui interrompt la connexion VPN côtéAWS de la connexion.

226

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_Route_Tables.html

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html



Endpoint 1

Préfixe IP que vous avez spécifié comme route statique lors de la création de la connexion VPN. Ils'agit des adresses IP de votre réseau qui sont autorisées à utiliser la connexion VPN pour accéder àvotre VPC.

Endpoint 2

Plage d'adresses IP (bloc d'adresse CIDR) du VPC associé à la passerelle réseau privé virtuel (parexemple, 10.0.0.0/16).

Preshared key

Clé pré partagée qui permet d'établir la connexion VPN IPsec entre Local Tunnel Endpoint etRemote Tunnel Endpoint.

Nous vous recommandons de configurer les deux tunnels dans le cadre de la connexion VPN. Chaquetunnel se connecte à un concentrateur VPN distinct du côté Amazon de la connexion VPN. Même si lesdeux tunnels ne peuvent pas être actifs simultanément, le deuxième tunnel s'établit automatiquement sile premier s'arrête. L'utilisation de tunnels redondants garantit une disponibilité continue en cas de panned'un périphérique. Sachant qu'un seul tunnel est disponible à la fois, la console Amazon VPC indique qu'untunnel est arrêté. Ce comportement étant attendu, aucune action de votre part n'est requise.

Les deux tunnels sont configurés. Par conséquent, en cas de dysfonctionnement d'un périphérique dansAWS, votre connexion VPN bascule automatiquement vers le deuxième tunnel de la passerelle réseauprivé virtuel AWS en quelques minutes. Lorsque vous configurez votre passerelle client, vous devezconfigurer les deux tunnels.

Note

De temps en temps, AWS effectue des opérations de maintenance habituelles sur la passerelleréseau privé virtuel. Il est possible que cette opération désactive l'un des deux tunnels de votreconnexion VPN pendant une brève période. Votre connexion VPN bascule automatiquement versle deuxième tunnel lors de ces opérations de maintenance.

Le fichier de configuration téléchargé contient des informations supplémentaires sur les associations desécurité (SA) IKE (Internet Key Exchange) et IPsec. Les paramètres recommandés pour le VPN VPC sontidentiques aux paramètres de configuration IPsec par défaut de Windows Server 2012 R2. Par conséquent,les tâches que vous avez à effectuer sont minimes.

MainModeSecMethods: DHGroup2-AES128-SHA1MainModeKeyLifetime: 480min,0sessQuickModeSecMethods: ESP:SHA1-AES128+60min+100000kbQuickModePFS: DHGroup2

MainModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IKE. Il s'agit des paramètres recommandéspour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2012 R2.

MainModeKeyLifetime

Durée de vie de la clé de la SA IKE. Il s'agit du paramètre recommandé pour la connexion VPN et duparamètre par défaut pour les connexions VPN IPsec de Windows Server 2012 R2.

QuickModeSecMethods

Algorithmes de chiffrement et d'authentification pour la SA IPsec. Il s'agit des paramètresrecommandés pour la connexion VPN et des paramètres par défaut pour les connexions VPN IPsec deWindows Server 2012 R2.

227


QuickModePFS

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pour vossessions IPsec.

Étape 3 : Configuration du serveur WindowsAvant de configurer le tunnel VPN, vous devez installer et configurer les services de routage et d'accèsdistant sur votre serveur Windows pour permettre aux utilisateurs distants d'accéder aux ressources survotre réseau.

Pour installer les services de routage et d'accès distant sur Windows Server 2012 R2 :

1. Connectez-vous au serveur Windows Server 2012 R2.2. Accédez au menu Start et choisissez Server Manager.3. Installez les services de routage et d'accès distant :

a. Depuis le menu Gérer, choisissez Ajouter des rôles et fonctionnalités.b. Sur la page Avant de commencer, vérifiez si votre serveur respecte les conditions requises, puis

choisissez Suivant.c. Choisissez Installation basée sur un rôle ou une fonctionnalité, puis Suivant.d. Choisissez Sélectionner un serveur du pool de serveurs, sélectionnez votre serveur Windows

2012 R2, puis choisissez Suivant.e. Sélectionnez Services de stratégie et d'accès réseau dans la liste. Dans la boîte de dialogue

qui s'affiche, choisissez Ajouter des fonctionnalités afin de confirmer les fonctions qui sontnécessaires pour ce rôle.

f. Dans cette même liste, choisissez Accès distant, puis Suivant.g. Sur la page Sélectionner les fonctionnalités, choisissez Suivant.h. Sur la page Services de stratégie et d'accès réseau, choisissez Suivant. Ne désélectionnez pas

Serveur NPS (Network Policy Server) et choisissez Suivant.i. Sur la page Accès distant, choisissez Suivant. Sur la page suivante, sélectionnez DirectAccess

et VPN (RAS). Dans la boîte de dialogue qui s'affiche, choisissez Ajouter des fonctionnalités afinde confirmer les fonctions qui sont nécessaires pour ce service de rôle. Dans cette même liste,sélectionnez Routage, puis choisissez Suivant.

j. Sur la page Rôle Serveur Web (IIS), choisissez Suivant. Conservez la sélection par défaut, puischoisissez Suivant.

k. Choisissez Installer. Une fois l'installation terminée, choisissez Fermer.

Pour configurer et activer le serveur de Routage et d'accès à distance :

1. Sur le tableau de bord, choisissez Notifications (icône de drapeau). Une tâche doit être effectuée avantde terminer la configuration de post-déploiement. Choisissez le lien Ouvrir l’Assistant Mise en route.

2. Choisissez Déployer VPN uniquement.3. Dans la boîte de dialogue Routage et accès distant, choisissez le nom de serveur, sélectionnez Action,

puis Configurer et activer le routage et l'accès à distance.4. Dans la section Assistant Installation d’un serveur Routage et accès distant, sur la première page,

choisissez Suivant.5. Sur la page Configuration, choisissez Configuration personnalisée et Suivant.6. Choisissez Routage réseau, Suivant, puis Terminer.

228

Amazon Virtual Private Cloud Network Administrator GuideÉtape 4 : Configuration du tunnel VPN

7. Lorsque vous y êtes invité par la boîte de dialogue Routage et accès distant, choisissez Démarrer leservice.

Étape 4 : Configuration du tunnel VPNVous pouvez configurer le tunnel VPN en exécutant les scripts netsh inclus dans le fichier de configurationtéléchargé ou à l'aide de l'assistant Nouvelle règle de sécurité de connexion sur le serveur Windows.

Important

Nous vous recommandons d'utiliser la clé principale PFS (Perfect Forward Secrecy) pour vossessions IPsec. Si vois choisissez d'exécuter le script netsh, ce dernier inclut un paramètre pouractiver PFS (qmpfs=dhgroup2). Vous ne pouvez pas activer la clé PFS via l'interface utilisateurde Windows Server 2012 R2 — vous devez l'activer à partir de la ligne de commande.

Option 1 : Exécuter le script netshCopiez le script netsh dans le fichier de configuration téléchargé et remplacez les variables. Voici unexemple de script.

netsh advfirewall consec add rule Name="vgw-1a2b3c4d Tunnel 1" Ênable=Yes Profile=any Type=Static Mode=Tunnel ^LocalTunnelEndpoint=Windows_Server_Private_IP_address ^RemoteTunnelEndpoint=203.83.222.236 Endpoint1=Your_Static_Route_IP_Prefix Êndpoint2=Your_VPC_CIDR_Block Protocol=Any Action=RequireInClearOut Âuth1=ComputerPSK Auth1PSK=xCjNLsLoCmKsakwcdoR9yX6GsEXAMPLE ^QMSecMethods=ESP:SHA1-AES128+60min+100000kb ÊxemptIPsecProtectedConnections=No ApplyAuthz=No QMPFS=dhgroup2

Name : vous pouvez remplacer le nom proposé (vgw-1a2b3c4d Tunnel 1) par celui de votre choix.

LocalTunnelEndpoint : saisissez l'adresse IP privée du serveur Windows sur votre réseau.

Endpoint1 : bloc d'adresse CIDR de votre réseau sur lequel le serveur Windows est situé (par exemple,172.31.0.0/16).

Endpoint2 : bloc d'adresse CIDR de votre VPC ou d'un sous-réseau de votre VPC (par exemple,10.0.0.0/16).

Exécutez le script mis à jour dans une fenêtre d'invite de commande sur votre serveur Windows. (lecaractère ^ vous permet de couper-coller le texte renvoyé à la ligne dans la ligne de commande). Pourconfigurer le deuxième tunnel VPN pour cette connexion VPN, répétez la procédure avec le deuxièmescript netsh du fichier de configuration.

Lorsque vous avez terminé, passez à la section 2.4 : Configuration du pare-feu Windows (p. 233).

Pour plus d'informations sur les paramètres netsh, accédez à la page Netsh AdvFirewall ConsecCommands dans la Bibliothèque Microsoft TechNet.

Option 2 : Utiliser l'interface utilisateur deWindows ServerPour configurer le tunnel VPN, vous pouvez également utiliser l'interface utilisateur du serveur Windows.Cette section décrit la marche à suivre.

229

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx

http://technet.microsoft.com/en-us/library/dd736198%28v=ws.10%29.aspx


Important

Vous ne pouvez pas activer la clé principale PFS (Perfect Forward Secrecy) via l'interfaceutilisateur de Windows Server 2012 R2. Vous devez activer PFS à partir de la ligne de commande,comme décrit à la section Activer la clé principale PFS (Perfect Forward Secrecy) (p. 232).

Rubriques• 2.1 : Configurer une règle de sécurité pour un tunnel VPN (p. 230)• 2.3 : Valider la configuration des tunnels (p. 232)• Activer la clé principale PFS (Perfect Forward Secrecy) (p. 232)

2.1 : Configurer une règle de sécurité pour un tunnel VPNDans cette section, vous configurez une règle de sécurité sur votre serveur Windows afin de créer untunnel VPN.

Pour configurer une règle de sécurité pour un tunnel VPN :

1. Ouvrez Server Manager, choisissez Outils, puis sélectionnez Pare-feu Windows avec fonctionsavancées de sécurité.

2. Sélectionnez Règles de sécurité de connexion, choisissez Action, puis Nouvelle règle.3. Dans l'assistant Nouvelle règle de sécurité de connexion, sur la page Type de règle, choisissez

Tunnel, puis Suivant.4. Sur la page Type de tunnel, sous Quel type de tunnel voulez-vous créer ?, choisissez Configuration

personnalisée. Sous Voulez-vous exempter les connexions protégées par IPsec de ce tunnel ?,conservez la valeur par défaut (Non. Envoyer tout le trafic réseau qui satisfait à cette règle de sécuritéde connexion à travers le tunnel.), puis choisissez Suivant.

5. Sur la page Configuration requise, choisissez Exiger l’authentification pour les connexions entrantes.Ne pas établir de tunnel pour les connexions sortantes, puis Suivant.

6. Sur la page Points de terminaison du tunnel, sous Quels ordinateurs se trouvent au point determinaison 1 ?, choisissez Ajouter. Saisissez la plage d'adresses CIDR de votre réseau (derrière votrepasserelle client Windows Server, par exemple, 172.31.0.0/16 ), puis choisissez OK. Notez quecette plage peut inclure l'adresse IP de votre passerelle client.

7. Sous Quel est le point de terminaison du tunnel local (le plus proche des ordinateurs du point determinaison 1) ?, choisissez Modifier. Dans le champ Adresse IPv4, entrez l'adresse IP privée de votreserveur Windows, puis choisissez OK.

8. Sous Quel est le point de terminaison du tunnel distant (le plus proche des ordinateurs du pointde terminaison 2) ?, choisissez Modifier. Dans le champ Adresse IPv4, entrez l'adresse IP de lapasserelle réseau privé virtuel pour le Tunnel 1 du fichier de configuration (voir Remote TunnelEndpoint), puis choisissez OK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner le point determinaison pour le tunnel 2.

9. Sous Quels ordinateurs se trouvent au point de terminaison 2 ?, choisissez Ajouter. Dans le champCette adresse IP ou ce sous-réseau, entrez le bloc d'adresse CIDR de votre VPC, puis choisissez OK.

Important

Vous devez faire défiler la boîte de dialogue jusqu'à la section Quels ordinateurs se trouventau point de terminaison 2 ?. Ne choisissez pas Suivant avant d'avoir terminé cette étape, carvous ne pourriez pas vous connecter à votre serveur.

230


10. Assurez-vous que tous les paramètres que vous avez spécifiés sont corrects, puis choisissez Suivant.11. Sur la page Méthode d'authentification, sélectionnez Avancé, puis choisissez Personnaliser.12. Sous Premières méthodes d'authentification, choisissez Ajouter.13. Sélectionnez Clé prépartagée, saisissez la valeur de la clé pré partagée provenant du fichier de

configuration, puis cliquez sur OK.

Important

Si vous répétez cette procédure pour le tunnel 2, assurez-vous de sélectionner la clé prépartagée correspondante.

14. Assurez-vous que l'option La première authentification est facultative n'est pas sélectionnée, puischoisissez OK.

15. Choisissez Suivant.

231


16. Sur la page Profil, cochez les trois cases : Domaine, Privé et Public, puis choisissez Suivant.17. Sur la page Nom, entrez un nom pour votre règle de connexion ; par exemple, VPN to AWS Tunnel

1, puis choisissez Terminer.

Répétez la procédure ci-dessus, en spécifiant les données pour le tunnel 2 provenant du fichier deconfiguration.

Une fois l'opération terminée, vous disposez de deux tunnels configurés pour votre connexion VPN.

2.3 : Valider la configuration des tunnelsPour valider la configuration des tunnels :

1. Ouvrez Server Manager, choisissez Outils, sélectionnez Pare-feu Windows avec fonctions avancéesde sécurité, puis sélectionnez Règles de sécurité de connexion.

2. Effectuez les vérifications suivantes pour les deux tunnels :

• Activé est défini sur Yes.• Point de terminaison 1 est le bloc d'adresse CIDR pour votre réseau• Point de terminaison 2 est le bloc d'adresse CIDR pour votre VPC• Mode d'authentification est défini sur Require inbound and clear outbound.• Méthode d'authentification est défini sur Custom.• Port du point de terminaison 1 est défini sur Any.• Port du point de terminaison 2 est défini sur Any.• Protocole est défini sur Any

3. Sélectionnez la première règle et choisissez Propriétés.4. Sous l'onglet Authentification, sous Méthode, choisissez Personnaliser, puis vérifiez que Premières

méthodes d’authentification contient la clé pré partagée appropriée provenant du fichier deconfiguration pour le tunnel, puis choisissez OK.

5. Dans l'onglet Avancé, assurez-vous que les options Domaine, Privé et Public sont toutessélectionnées.

6. Sous Tunneling IPsec, choisissez Personnaliser. Vérifiez les paramètres de tunneling IPsec ci-après,puis choisissez OK et de nouveau OK pour fermer la boîte de dialogue.

• L'option Utiliser le tunneling IPSec est sélectionnée.• Point de terminaison du tunnel local (le plus proche du point de terminaison 1) contient l'adresse IP

de votre serveur Windows. Si votre passerelle client est une instance EC2, il s'agit de l'adresse IPprivée de l'instance.

• Point de terminaison du tunnel distant (le plus proche du point de terminaison 2) contient l'adresseIP de la passerelle réseau privé virtuel pour ce tunnel.

7. Affichez les propriétés de votre second tunnel. Répétez les étapes 4 à 7 pour ce tunnel.

Activer la clé principale PFS (Perfect Forward Secrecy)Vous pouvez activer la clé principale PFS à partir de la ligne de commande. Vous ne pouvez pas activercette fonction à partir de l'interface utilisateur.

Pour activer la clé principale PFS

1. Sur votre serveur Windows, ouvrez une nouvelle fenêtre d'invite de commande.2. Entrez la commande suivante, en remplaçant rule_name par le nom que vous avez attribué à la

première règle de connexion.

232

Amazon Virtual Private Cloud Network Administrator Guide2.4 : Configuration du pare-feu Windows

netsh advfirewall consec set rule name="rule_name" new QMPFS=dhgroup2 QMSecMethods=ESP:SHA1-AES128+60min+100000kb

3. Reprenez l'étape 2 pour le second tunnel, en remplaçant cette fois rule_name par le nom que vousavez attribué à la seconde règle de connexion.

2.4 : Configuration du pare-feu WindowsAprès avoir configuré vos règles de sécurité sur votre serveur, configurez les paramètres IPsec de basepour qu'ils fonctionnent avec la passerelle réseau privé virtuel.

Pour configurer le pare-feu Windows :

1. Ouvrez Server Manager, choisissez Outils, sélectionnez Pare-feu Windows avec fonctions avancéesde sécurité, puis choisissez Propriétés.

2. Sous l'onglet Paramètres IPSec, sous Exemptions IPsec, vérifiez que Exempter ICMP d'IPsec estdéfini sur Non (par défaut). Assurez-vous que l'option Autorisation de tunnel IPsec est définie surAucune.

3. Sous Valeurs par défaut IPsec, choisissez Personnaliser.4. Sous Échange de clé (mode principal), sélectionnez Avancé, puis choisissez Personnaliser.5. Dans Personnaliser les paramètres avancés d'échange de clés, sous Méthodes de sécurité, assurez-

vous que ces valeurs par défaut sont utilisées comme première entrée.

• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Algorithme d'échange de clés : Groupe Diffie-Hellman 2• Sous Durée de vie des clés, assurez-vous que Minutes est défini sur 480 et que Sessions est défini

sur 0.

Ces paramètres correspondent aux entrées suivantes dans le fichier de configuration :

MainModeSecMethods: DHGroup2-AES128-SHA1,DHGroup2-3DES-SHA1MainModeKeyLifetime: 480min,0sec

6. Sous Options d’échange de clés, sélectionnez Utiliser Diffie-Hellman pour une sécurité accrue, puischoisissez OK.

7. Sous Protection des données (mode rapide), sélectionnez Avancé, puis choisissez Personnaliser.8. Sélectionnez Demander le chiffrement de toutes les règles de sécurité de connexion qui utilisent ces

paramètres.9. Sous Intégrité de données et chiffrement, conservez les valeurs par défaut:

• Protocole : ESP• Intégrité : SHA-1• Chiffrement : AES-CBC 128• Durée de vie : 60 minutes

Ces valeurs correspondent à l'entrée suivante du fichier de configuration.

QuickModeSecMethods: ESP:SHA1-AES128+60min+100000kb

233

Amazon Virtual Private Cloud Network Administrator GuideÉtape 5 : Activation de la détection de passerelle inactive

10. Choisissez OK pour revenir dans la boîte de dialogue Personnaliser les paramètres IPsec etchoisissez de nouveau OK pour enregistrer la configuration.

Étape 5 : Activation de la détection de passerelleinactive

Vous devez ensuite configurer TCP pour détecter quand une passerelle devient indisponible. Pour ce faire,vous pouvez modifier cette clé de registre : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. N'effectuez pas cette opération avant d'avoir terminé la procédure indiquée dans lessections précédentes. Une fois que vous avez modifié la clé de registre, vous devez redémarrer le serveur.

Pour activer la détection de passerelle inactive :

1. Depuis votre serveur Windows, lancez l'invite de commande ou une session PowerShell, puis tapezregedit afin de lancer l'éditeur de registre.

2. Développez HKEY_LOCAL_MACHINE, SYSTEM, CurrentControlSet, Services, Tcpip, puisParameters.

3. Dans le menu Editer, sélectionnez Nouveau et sélectionnez Valeur DWORD 32 bits.4. Saisissez le nom EnableDeadGWDetect.5. Sélectionnez EnableDeadGWDetect, puis choisissez Modifier dans le menu Editer.6. Dans Données de la valeur, saisissez 1, puis choisissez OK.7. Fermez l'Éditeur du Registre, puis redémarrez le serveur.

Pour plus d'informations, accédez à la page EnableDeadGWDetect dans la Bibliothèque MicrosoftTechNet.

234

http://technet.microsoft.com/en-us/library/cc960464.aspx


Étape 6 : Test de la connexion VPNPour vérifier si la connexion VPN fonctionne correctement, lancez une instance dans votre VPC et assurez-vous qu'elle n'est associée à aucune connexion Internet. Après avoir lancé l'instance, effectuez un test pingsur son adresse IP privée à partir de votre serveur Windows. Le tunnel VPN intervient lorsque le trafic estgénéré depuis la passerelle client. Par conséquent, la commande ping initie également la connexion VPN.

Pour lancer une instance dans votre VPC et obtenir son adresse IP privée :

1. Ouvrez la console Amazon EC2, puis choisissez Launch Instance.2. Sélectionnez une AMI Amazon Linux, puis un type d'instance.3. Sur la page Step 3: Configure Instance Details, sélectionnez votre VPC dans la liste Network et un

sous-réseau dans la liste Subnet. Veillez à sélectionner le sous-réseau privé que vous avez configurélors de l'étape Étape 1: Création d'une connexion VPN et configuration de votre VPC (p. 225).

4. Dans la liste Auto-assign Public IP, assurez-vous que le paramètre est défini sur Disable.5. Choisissez Next jusqu'à ce que vous atteigniez la page Step 6: Configure Security Group. Vous

pouvez sélectionner un groupe de sécurité que vous avez configuré dans Étape 1: Création d'uneconnexion VPN et configuration de votre VPC (p. 225), ou créer un groupe de sécurité et vérifier qu'ilcomporte une règle autorisant tout le trafic ICMP à partir de l'adresse IP de votre serveur Windows.

6. Terminez les étapes restantes de l'assistant, puis lancez votre instance.7. Sur la page Instances, sélectionnez votre instance. Dans le volet des détails, obtenez l'adresse IP

privée dans le champ Private IPs.

Connectez-vous à votre serveur Windows, ouvrez l'invite de commande, puis utilisez la commande pingpour effectuer un test ping sur votre instance avec son adresse IP privée. Par exemple :

ping 10.0.0.4

Pinging 10.0.0.4 with 32 bytes of data:Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62Reply from 10.0.0.4: bytes=32 time=2ms TTL=62 Ping statistics for 10.0.0.4: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 2ms, Maximum = 2ms, Average = 2ms

Si la commande ping échoue, vérifiez les informations suivantes :

• Assurez-vous d'avoir configuré vos règles de groupe de sécurité pour autoriser le trafic ICMP versl'instance dans votre VPC. Si votre serveur Windows est une instance EC2, assurez-vous que les règlessortantes de son groupe de sécurité autorisent le trafic IPsec. Pour de plus amples informations, veuillezconsulter Configuration de votre serveur Windows (p. 224).

• Assurez-vous que le système d'exploitation est configuré pour répondre à ICMP, sur l'instance faisantl'objet de votre test ping. Nous vous recommandons d'utiliser une des AMI Amazon Linux.

• Si l'instance sur laquelle vous effectuez un test ping est une instance Windows, connectez-vous àl'instance et autorisez l'accès ICMPv4 entrant sur le pare-feu Windows.

• Assurez-vous d'avoir correctement configuré les tables de routage pour votre VPC ou votre sous-réseau. Pour de plus amples informations, veuillez consulter Étape 1: Création d'une connexion VPN etconfiguration de votre VPC (p. 225).

235


• Si votre passerelle client est une instance Windows Server, assurez-vous d'avoir désactivé la source/destination checking pour l'instance. Pour de plus amples informations, veuillez consulter Configurationde votre serveur Windows (p. 224).

Sur la page VPN Connections de la console Amazon VPC, sélectionnez votre connexion VPN. Le premiertunnel est à l'état « UP ». Le second tunnel doit être configuré, mais il ne sera utilisé que si le premiertunnel s'arrête. L'établissement des tunnels chiffrés peut prendre quelques instants.

236


Historique du documentPour plus d'informations sur les modifications importantes apportées à chaque version du AmazonVPC Network Administrator Guide, consultez Historique du document dans le Amazon VPC Guide del'utilisateur.

237

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/WhatsNew.html

Documents

Amazon Virtual Private Cloud - AWS Documentation : Périphérique Fortinet Fortigate ... 200 Tunnel ... Amazon Virtual Private Cloud Network Administrator Guide